28.05.2021  | Update Datenschutz Nr. 97

EU-Datenschutzbeauftragter leitet Verfahren gegen Institutionen der Europäischen Union wegen Nutzung von Amazon AWS und Microsoft Office




zurück zur Übersicht

Seitdem der Europäische Gerichtshof im Juli 2020 (C-311/18, „Schrems II“) das EU-US-Privacy-Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt hatte und erhöhte Anforderungen an den Einsatz der EU-Standardvertragsklauseln festlegte, herrscht in vielen Unternehmen Unsicherheit: Ein rechtskonformer Datentransfer in die USA auf Grundlage des Privacy-Shield ist nicht mehr möglich und die bereits im November 2020 angekündigten, neuen EU-Standardvertragsklauseln sind auch heute noch nicht von der EU-Kommission verabschiedet (wir berichteten). Im Bereich der Nutzung von US-Cloud-Services wie Microsoft Office 365, Amazon AWS, Salesforce, Google & Co. ist eine eindeutig rechtkonforme Lösung daher heute selbst dann nicht möglich, wenn die betreffenden Server innerhalb der EU liegen (siehe Interview des Landesdatenschutzbeauftragten in Baden-Württemberg). Dieses Problem haben jedoch nicht nur Unternehmen, sondern auch die Institutionen der Europäischen Union, denn auch dort wird etwa Microsoft Office verwendet.

Der für die datenschutzrechtliche Kontrolle dieser Institutionen Verantwortliche, der EU-Datenschutzbeauftragte Wojciech Wiewiórowski, hat nun mit Datum vom 27. Mai 2021 per Pressemitteilung angekündigt, zwei Verfahren einzuleiten zur Überprüfung der Einhaltung von EU-Recht bei der Nutzung von US-Clouddiensten.

  • Im ersten Verfahren geht es um die Nutzung von Amazon AWS und Microsoft Diensten durch EU-Institutionen auf Grundlage der sog. „Cloud-II-Verträge“. Diese ermöglichen einen vereinfachten Beschaffungsprozess in Bezug auf Cloud-Services und legen Standards bei der technischen und rechtlichen Cloud-Nutzung (insbesondere bei Drittlandtransfer) fest. Diese Standards wurden bereits Anfang 2020 festgelegt und bedürfen nach Ansicht des EU-Datenschutzbeauftragten nach dem obigen EuGH-Urteil aus Juli 2020 einer Überprüfung und Anpassung.
  • Im zweiten Verfahren geht es um die konkrete Nutzung von Microsoft Office 365 durch die EU-Kommission selbst. Der Europäische Datenschutzausschuss (ein Zusammenschluss von Vertretern der nationalen Datenschutzbehörden in der EU) hatte am 2. Juli 2020 (also ebenfalls vor dem Schrems-II-Urteil) auf 29 Seiten konkrete Vorgaben für die Nutzung von Microsoft-Produkten durch EU-Institutionen verabschiedet. Es soll nun geprüft werden, ob die EU-Kommission bei der eigenen Nutzung von Microsoft Office 365 diese Vorgaben auch einhält, insbesondere unter Berücksichtigung der neuen Anforderungen des EuGH.

Welche Bedeutung hat die obige Ankündigung des EU-Datenschutzbeauftragten nun für deutsche Unternehmen?

Fast ein ganzes Jahr nach dem obigen EuGH-Urteil i.S. Schrems II gibt es noch immer keine Rechtssicherheit bei der Nutzung von Cloud-Diensten der US-Provider, selbst bei exklusiver Verwendung von EU-Servern. Die neuen EU-Standardvertragsklauseln sollten diese Rechtssicherheit bringen, lassen jedoch auf sich warten. Zudem ist auch nach Veröffentlichung der finalen Version zum Drittlandtransfer durch die EU-Kommission damit zu rechnen, dass diese später wieder vom EuGH für ungültig erklärt wird, da die US-Regierung ihre Überwachungspraxis wohl nicht ändern wird und auch ein No-Spy-Abkommen (wie jetzt für Großbritannien gefordert) unwahrscheinlich ist. Die gestrige Pressemitteilung des EU-Datenschutzbeauftragten zeigt, dass sich nun endlich etwas bewegt. Nicht nur die deutschen Aufsichtsbehörden erwägen ein Verbot von Amazon AWS, Microsoft Office 365 & Co, sondern nun auch die EU-Kontrollorgane. Zwar lenkt Microsoft regelmäßig ein und bringt neue Umsetzungsmodelle ins Spiel. Auch erhält Microsoft zunehmend Schützenhilfe von der Bundesregierung, die derzeit keine wirklichen Alternativen bei EU-Anbietern erkennt. Allerdings ändern all diese Bemühungen und Tendenzen nichts an dem ungebremsten Willen der US-Regierung an einer Überwachung des internationalen Datenverkehrs, so dass deutsche Unternehmen sich bereits heute auf eine etwaige Prüfung der Aufsichtsbehörden im Hinblick auf die Inanspruchnahme von US-Cloud-Providern einstellen sollten. Einen Vorschlag für eine mögliche Antwort auf derartige Anhörungen hatte kürzlich das ITM-Institut der Universität Münster zur Verfügung gestellt.

Ansprechpartner

Weitere Fachbeiträge, die Sie interessieren könnten

Diese Seite verwendet Cookies. Erfahren Sie in unserer Datenschutzerklärung mehr darüber, wie wir Cookies einsetzen und wie Sie Ihre Einstellungen ändern können. OK