Urteil zu Schrems II: US-Datentransfer kann mit Verschlüsselung abgesichert werden

Der belgische Staatsrat hat ein wichtiges Urteil zum Datentransfer in die USA gefällt. Doch wann reicht die Verschlüsselung von Daten wirklich aus?

Ein Bericht von Christiane Schulzki-Haddouti veröffentlicht am
Europäischer Datenschutzausschuss (Symbolbild)
Europäischer Datenschutzausschuss (Symbolbild) (Bild: Pixabay / Montage: Golem.de)

Unter welchen Bedingungen können US-Cloud-Dienste nach dem sogenannten Schrems-II-Urteil noch genutzt werden? Nur mit zusätzlichen Absicherungsmaßnahmen, sagt der Europäische Datenschutzausschuss (EDSA). Dem stimmte nun der belgische Staatsrat, das oberste Verwaltungsgericht in Belgien, in einem Urteil vom 19. August 2021 zu (Az. 251.378). Eine Verschlüsselung mit separater Schlüsselverwaltung kann neben dem Abschluss von Standardvertragsklauseln demnach als ausreichende ergänzende Maßnahme gelten.

Inhalt:
  1. Urteil zu Schrems II: US-Datentransfer kann mit Verschlüsselung abgesichert werden
  2. Kein Urteil über die zulässige Nutzung von US-Cloud-Diensten

In dem sogenannten Schrems-II-Urteil hatte der Europäische Gerichtshof (EuGH) im Juli 2020 das Datenschutzabkommen Privacy Shield zwischen der EU und den USA für unzulässig erklärt. Seitdem herrscht eine gewisse Unklarheit, auf welcher rechtlichen Basis personenbezogene Daten von der EU in die USA transferiert werden können. Hintergrund des Urteils ist ein jahrelanger Streit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und dem sozialen Netzwerk Facebook.

Zusätzliche Maßnahmen empfohlen

Der EDSA empfahl in seinen 46-seitigen Richtlinien (PDF)verschiedene "zusätzliche Maßnahmen", um ein angemessenes Schutzniveau beim Transfer in Drittstaaten sicherzustellen. Damit soll beispielsweise der Zugriff von US-Geheimdiensten auf die Daten verhindert werden.

Das Urteil des belgischen Staatsrats erging in einem Streit um die Vergabe eines öffentlichen Auftrags. Geklagt hatte ein niederländisches Unternehmen, das in einem Ausschreibungsverfahren der öffentlichen Hand den Auftrag an den Amazon-Cloud-Anbieter AWS verloren hatte. Demnach können Unternehmen und Behörden US-Cloud-Dienste nutzen - aber nur mit zusätzlichen Sicherungsmaßnahmen.

Wichtige gerichtliche Anerkennung der EDSA-Vorgaben

Stellenmarkt
  1. Prozessmanager (m/w/d)
    Wilkening + Hahne GmbH+Co. KG, Bad Münder
  2. Betriebswirtin / (Wirtschafts-)Informatikerin / Wirtschaftsingenieurin als SAP-Architektin ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
Detailsuche

Derzeit gibt es zahlreiche Beschwerdeverfahren zu den Anforderungen der Schrems-II-Entscheidung, zu denen keine abschließenden Entscheidungen durch Gerichte vorliegen. Das belgische Urteil trifft daher auch in Deutschland auf große Aufmerksamkeit.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist aufsichtsrechtlich unter anderem für Amazon und Microsoft zuständig. Michael Will, Präsident des BayLDA begrüßt die Entscheidung des belgischen Verwaltungsgerichts: "Sie bestätigt, dass auch Datenübermittlungen in die USA durch den Einsatz wirksamer Verschlüsselungsmaßnahmen und die Übertragung des Schlüssels allein an den in der EU ansässigen Verantwortlichen datenschutzgerecht abgesichert werden können." Das sei aber "kein Blankoscheck", der "von einer sorgfältigen Prüfung anderer AWS-Angebote oder anderer US-Cloud-Diensteanbieter freizeichnet".

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Will weist darauf hin, dass die Anforderungen des EDSA zwar die vom EuGH aufgezeigten Anforderungen an ergänzende Schutzmaßnahmen konkretisierten, aber gegenüber Gerichten keine unmittelbare Bindungswirkung hätten. Daher sei ihre Anerkennung als geeigneter Beurteilungsmaßstab durch den belgischen Staatsrat "ein wichtiger Beitrag zur einheitlichen Anwendung des europäischen Datenschutzrechts und zur Verbesserung der Rechtssicherheit."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Kein Urteil über die zulässige Nutzung von US-Cloud-Diensten 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Onlineshopping: Hermes erwartet mehr Paketsendungen bis Weihnachten
    Onlineshopping
    Hermes erwartet mehr Paketsendungen bis Weihnachten

    Der Logistikdienstleister Hermes geht von einer Steigerung zum Vorjahr aus. Durch den Onlineshopping-Boom braucht der Konzern mehr Zusteller und Fahrzeuge.

  2. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  3. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • HP Herbst Sale bei NBB: Bis zu 500€ Rabatt auf Gaming-Notebooks, Monitore uvm. • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /