Warum wir KEINERLEI Daten von US-Firmen verwalten lassen dürfen
Die DSGVO soll die Grundrechte und Grundfreiheiten natürlicher Personen schützen. Insbesondere deren Recht auf Schutz personenbezogener Daten. Soweit so Gut.
Bis zum sogenannten Schrems-II-Urteil des EuGH wägten wir uns in vermeintlicher Sicherheit, was die Schutz unserer personenbezogener Daten (pD) und die Verarbeitung dieser durch US-Unternehmen anging, da es ja die Privacy Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten (pD) durch EU-Unternehmen an die USA gäbe.
Mit dem Urteil wurde eines jetzt klar: Die Übermittlung pD durch EU-Unternehmen an die USA ist unzulässig, da nicht-US-Bürger in den USA keinerlei Grundrechte genießen!
Doch nicht nur das! Durch den CLOUD Act sind auch personenbezogene Daten, welche in der EU von US-Firmen verarbeitet werden, schutzlos und können jederzeit missbraucht werden.
Hier ein paar Erklärungen zum CLOUD Act, um Licht ins Dunkel zu bringen:
Der CLOUD ist ein US-amerikanisches Gesetz und seit 23. März 2018 in Kraft. Es gestattet den Zugriff von US-Behörden auf gespeicherte Daten von US-Unternehmen weltweit zuzugreifen. Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, auch wenn die Speicherung nicht in den USA erfolgt.
Infolge des Gesetzes wird es US-Behörden ermöglicht, ihre Anfragen direkt an die Konzerne zu stellen, und das zudem ohne eine gerichtliche Kontrolle. Damit wird eine Abfrage jederzeit ohne Rechtsmittel einzulegen möglich und jeglicher Datenschutz missachtet. Über diesen Weg können somit US-Behörden und -Firmen Zugriff auf pD erhalten, die von US-Konzernen im Ausland gespeichert werden. Darüber hinaus kann Internet-Firmen und IT-Dienstleistern nach dem CLOUD Act verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren.
Grundsätzliche gäbe es ein Widerspruchsrecht. Aber nur für Bürger und Länder die mit den USA ein Abkommen unter dem CLOUD Act abgeschlossen haben. Aktuell hat lediglich Großbritannien ein solches Executive Agreement unterzeichnet, sodass es diese Möglichkeit für alle anderen Bürger weltweit nicht gibt.
Das diese Missachtung der Grundrechte erheblichen Schaden verursacht, wurde auch in den USA erkannt und stößt auch dort auf scharfe Kritik an diesem Gesetz aus der IT-Wirtschaft (z.B. Microsoft) und US-Datenschutzorganisationen. Klagen von Microsoft gegen die Herausgabeverpflichtung von Servern in Irland wurden zurückgewiesen.
Konkrete Folgen:
Sobald personenbezogene Daten (pD) im Zugriff von US-Unternehmen stehen, sind diese ungeschützt.
Selbst wenn das US-Unternehmen nach besten Wissen und Gewissen zum Schutz der pD handeln wollte, so können sie sich nicht über das US-Recht hinweg setzen. Also helfen auch keine wie auch immer gestalteten Verträge oder IT-Security-Systeme, da sie zur Herausgabe schlichtweg verpflichtet sind.
Grundsätzlich stellt eine Datenweitergabe aus der EU einen Widerspruch zu europäischem Datenschutzrecht dar. So sind alle bestehenden Verträge zur Datenverarbeitungsdienstleistungen zu gehosteten pD und Anwendungen nicht haltbar.
Folgt man der Auffassung von Datenschutz- und Rechtsexperten, ist die Daten-Haltung, –Verarbeitung oder -Weitergabe von pD auf US-Systemen, egal wo gehostet, trotz bestehender Verträge zur Datenverarbeitungsdienstleistung ein hohes Risiko und verbietet somit die Verarbeitung auf diesen Systemen. Das schließt somit Firmen aus den USA als Lösungsanbieter für personenbezogene IT-Dienstleistungen unweigerlich aus und begründet damit ein Sonderkündigungsrecht, lt. Auffassung der Experten.
Ein paar Beispiele von unmittelbar betroffenen US-Diensten und -Lösungen:
Amazon AWS, Microsoft 365, Mrcosoft Azure, Dropbox, Google Drive, OneDrive, Apple iCloud, BOX.com, Zoom, Microsoft Teams, Whatsapp u.v.a.m.
Uns bleibt nur die dringende Empfehlung vorzugsweise Lösungen aus der EU einzusetzen, bzw. Standard-Applikationen, wie Microsoft Office NICHT als Cloud-Service von Microsoft zu nutzen.
Wirklich tragisch an dieser Situation ist, dass ein Land, das so viel auf seine Verfassung hält, aber anderen diese Rechte vorsätzlich verweigert. Damit schaden sie nicht nur denen, denen sie die Rechte verwehren, sondern auch den eigenen Bürgern und Unternehmen, da jegliches Vertrauen per Gesetz unterminiert wird.
