Viele Unternehmen sind insbesondere auch mit Blick auf das aktuelle Facebook-Urteil des Europäischen Gerichtshofes (EuGH) verunsichert. Denn der EuGH hat am 6. Oktober 2015 entschieden, dass die Safe Harbor Entscheidung der EU-Kommission zur Übermittlung von personenbezogenen Daten in die USA vom 26. Juli 2000 ungültig ist. Die Entscheidung des EuGH betrifft letztlich alle Unternehmen, die Datenaustauschbeziehungen mit US-Unternehmen haben, nicht nur diejenigen, die für diesen Datenaustausch die Angemessenheit des Datenschutzniveaus in den USA bislang über die Safe Harbor Zertifizierung des in den USA ansässigen (datenempfangenden) Unternehmens gewährleistet haben. Dies gilt also für konzerninterne Übermittlungen (etwa wenn europäische Tochterunternehmen Personal- oder Kundendaten im Rahmen von Mitarbeiterdatenbanken oder Customer Relationship Systemen mit ihrer US-amerikanischen Konzernzentrale austauschen) genauso wie für Übermittlungen von Daten an US-amerikanische IT-Dienstleister und Plattformen. Insbesondere cloudbasierte Dienste mit in den USA befindlichen Servern sind von dem EuGH-Urteil betroffen.
Die USA sind kein sicherer Hafen
Der EuGH führte aus, dass die Safe Harbor Entscheidung keine hinreichenden Sicherheits-Garantien im Sinne der EU-Datenschutzrichtlinie enthalte. Der den US-Geheimdiensten eröffnete Zugriff bedeute vielmehr einen Eingriff in die Grundrechte auf Achtung der Privatsphäre und Datenschutz. Die Überwachung sei massiv, nicht zielgerichtet und umfasse auch die Inhalte der Kommunikation ohne jede Differenzierung. EU-Unionsbürger verfügten über keinen effektiven Rechtsschutz gegen derartige Abhör- und Überwachungsmaßnahmen der US-Sicherheitsbehörden. Letztlich stellt diese Kritik auch die sog. EU-Standardvertragsklauseln in Frage.
Exkurs: Die Europäische Kommission hat Standardvertragsklauseln für Übermittlungen an sog. Auftragsdatenverarbeiter (Beschluss 2010/87/ EU der Kommission vom 5. Februar 2010) und Standardvertragsklauseln für Übermittlungen an sog. verantwortliche Stellen (Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 und Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004) verabschiedet, die angemessene Garantien bei der Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten und von den nationalen Datenschutzaufsichtsbehörden anzuerkennen sind.
Behörden können auf Daten (auch in der Cloud) zugreifen
Viele Nutzer fragen sich daher, ob sie damit rechnen müssen, dass (vor allem ausländische) Behörden auf ihre Daten zugreifen oder anders formuliert: Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Wo muss mein Rechenzentrum stehen und darf ich überhaupt noch Dienste von US-Providern nutzen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies in naher Zukunft beabsichtigen. Dies gilt insbesondere, nachdem bereits im Sommer 2011 "offiziell" bekannt wurde, dass US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können. Die Datenschutzbeauftragten des Bundes und der Länder sehen die Cloud demgemäß weiterhin kritisch, sehen die Verantwortung aber allein beim Nutzer: "Anwender dürfen Cloud-Services (nur) dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung".
USA: Patriot Act und E-Discovery
Unter gewissen Umständen können US-Provider verpflichtet sein, auch die in europäischen Rechenzentren gespeicherten Daten an US-Behörden weiterzugeben. Diese Pflicht kann sich unter anderem aus dem Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden. Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen (so das US-Gesetz) auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte FISA ("Foreign Intelligence Surveillance Act") den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.
Microsoft präsentiert die "deutsche Cloud" und den "deutschen Datentreuhänder"
In zeitlicher Hinsicht ist es Zufall und hängt nicht unmittelbar mit dem eingangs dargestellten Facebook-Urteil zusammen, dass es nun ein neues Cloud-Angebot von Microsoft gibt. Dennoch verspricht Microsoft mit der "deutschen Cloud" und der neuen Institution eines "Datentreuhänders" Abhilfe gegen den Zugriff von US-Behörden. Ab dem 2. Halbjahr 2016 sollen stufenweise die neuen Cloud-Dienste in Deutschland ausgerollt werden. Dabei sollen Azure, Office 365 und CRM online aus deutschen Rechenzentren heraus angeboten werden. Das Novum: Es wird nicht nur Rechenzentren in Deutschland geben, die durch einen deutschen Provider betrieben werden, sondern auch einen deutschen "Datentreuhänder". Dieser Datentreuhänder verwaltet die Daten der Kunden und wird sämtliche Zugänge zu den Kundendaten absichern, und zwar auch gegenüber Microsoft. So soll sichergestellt werden, dass beispielsweise auch Microsoft selbst nicht auf die Kundendaten zugreifen kann. Allein der Datentreuhänder und die Kunden hätten danach den physikalischen und logischen Zugriff auf die Daten. Wenn aber diese faktische Zugriffsmöglichkeit für den US-Provider Microsoft nicht besteht, greifen gegenüber Microsoft auch die Eingriffsbefugnisse nach dem Patriot Act oder die Herausgabeansprüche bei einer E-Discovery nach Rule 26 FRCP ("Federal Rules of Civil Procedure") ins Leere. Dies funktioniert aber nur, wenn der Datentreuhänder wirklich "neutral" ist und keinerlei (gesellschaftsrechtliche oder vertragliche) Verbindungen zu Microsoft hat, über die letztlich doch ein etwaiger Herausgabeanspruch der Behörden oder des Gerichtes durchgesetzt werden könnte. Zugleich steht der Datentreuhänder bei Wahl dieser Option auch mit dem (deutschen) Kunden in einer vertraglichen Beziehung und auch in diesem Rechtsverhältnis sind dann die Befugnisse zur Herausgabe der Daten streng limitiert. Der Datentreuhänder fungiert dabei als Auftragsdatenverarbeiter im Sinne der deutschen Datenschutzgesetze. Technisch wird diese Lokalisierung der Daten dadurch erreicht, dass die Kundendaten nur in Deutschland vorhanden sind und auch nicht etwa im Rahmen eines Back-Ups in ein anderes Land gespiegelt werden.