Können deutsche Unternehmen Cloud-Anbieter mit Sitz in den USA noch nutzen?

Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.

Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.

Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.

Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt, können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindeskriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:

Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffend… » Vollständiger Artikel