Licht am Ende des Tunnels zur Einhaltung der DSGVO von Personenbezogenen Daten durch US-Firmen

Wie bereits im Beitrag Personenbezogene Daten bei US-Firmen schutzlos geschrieben, hält uns die Rechtssituation durch das sogenannte Schrems-II-Urteil des EuGH gehörig auf trapp.

Doch aktuell gibt es Licht am Ende des Tunnels. Einige Hersteller, wie z.B. MICROSOFT, sind auf dem Standpunkt, dass Daten, welche in Europa liegen, vornehmlich europäischem Recht unterliegen und daher nicht so ohne Weiteres der US-Regierung übermittelt werden dürfen.

„Bei US-Anfragen zur Herausgabe personenbezogenen Daten (pD) oder sonstigen Daten, welche sich auf Servern in Europa befinden, wird die Anfrage kurzer Hand der nationalen Gerichtsbarkeit übergeben“, so die unbestätigte Aussage von Microsoftmitarbeitern. Darüber hinaus soll es ein Verzeichnis geben, in dem alle US-Anfragen anonymisiert und zeitversetzt (ca. 6 Monate) aufgelistet werden. Darin soll erkennbar sein, wie der Status der Anfrage ist, also ab einer Herausgabe stattgegeben wurde, oder ob die europäische Justiz dagegen entschieden und die Herausgabe somit unterbunden hat.

Wenn dem so ist, wäre das ein gangbarer Weg, jedoch bleiben Daten, welche aus technischen Gründen trotzdem in die USA übermittelt werden, von diesem Prozedere ausgenommen, da die Daten dann bereits in den USA vorliegen und somit nicht mehr europäischen Recht unterliegen! Es gilt also im Detail darauf zu achten und zu prüfen, ob und welche Daten unter welchen Bedingungen in die USA übermittelt werden.

Wahrscheinliche Folgen:

Sobald personenbezogene Daten (pD) im Zugriff von US-Unternehmen stehen, sind diese ungeschützt, außer:

– wenn Daten auf EU-Servern liegen und die Entscheidung regelkonform europäischem Recht einem europäischem Gericht zur Entscheidung der Herausgabe vorgelegt werden.

Dies gilt explizit nicht, wenn diese Daten in irgendeiner Form – z.B. für Backup-Zwecke – in die USA gelangen! In diesem Fall bleibt den US-Unternehmen nur nach US-Recht die Herausgabe, zu der sie schlichtweg verpflichtet sind.

Unsere Empfehlungen:

  • Prüfen Sie die Prozedere des Herstellers und lassen Sie sich schriftlich versichern, dass DSGVO-Konform Anfragen aus den USA zur Herausgabe verbindlich Ihrer zuständigen europäischen Gerichtsbarkeit zur Entscheidung übergeben werden.
  • Lassen Sie sich versichern, dass Ihre Daten ausschließlich in der EU verarbeitet werden und keinerlei Daten, auch nicht zu Backup- oder sonstigen Zwecken, die EU verlassen.
  • Prüfen Sie gemeinsam mit dem Hersteller die Datenworkflows und Speicherorte Ihrer Daten und lassen Sie sich auch hierzu die Vollständigkeit dieses Audits bestätigen.

Betroffene Lösungen:

Amazon AWS, Microsoft 365, Mrcosoft Azure, Dropbox, Google Drive, OneDrive, Apple iCloud, BOX.com, Zoom, Microsoft Teams, Whatsapp u.v.a.m.

Können diese Empfehlungen von den US-Firmen nicht gewährleistet werden, so sind die personenbezogen Daten NICHT DSGVO-Konform geschützt! In diesen Fällen empfehlen wir weiterhin vorzugsweise Lösungen aus der EU einzusetzen, bzw. Applikationen, welche Sie DSGVO-Konform nutzen können.

Wir werden an der Sache dran bleiben und halten Sie am laufenden. 🙂