Public Cloud Services: Europäischer Gerichtshof erklärt Übermittlung persönlicher Daten an USA für rechtswidrig

Mit seinem Urteil vom 16.07.2020 hat der Europäische Gerichtshof die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau, wie die USA, auf der Grundlage des sogenannten Privacy Shields für rechtswidrig erklärt. Private Cloud-Lösungen ohne Datenübermittlung in derartige Drittländer sowie Services aus den ECKD KIGST Rechenzentren sind davon nicht betroffen.

Auch die Übermittlung personenbezogener Daten auf Grundlage der vom EuGH grundsätzlich anerkannten sogenannten Standardvertragsklauseln ist laut dem Urteil rechtswidrig, da in den USA, insbesondere wegen des sog. Cloud-Acts, kein angemessenes Datenschutzniveau im Sinne der DSGVO garantiert werden kann. Erste Stellungnahmen der kirchlichen Aufsichtsbehörden (Geltungsbereich KDG, DSG-EKD) bestätigen diesen Sachverhalt.

Eine Nutzung von Cloud-Diensten in Drittländern ist unter Einsatz von technischen und/oder organisatorischen Maßnahmen dennoch weiterhin möglich. So ist die Datenübermittlung in Drittländer immer mit einer Einwilligung des Betroffenen zulässig, unabhängig vom Urteil des EuGH. Das Urteil weist zudem darauf hin, dass auch weitere Maßnahmen und Zusicherungen eines US-Datenimporteurs zu einem angemessenen Datenschutzniveau im Sinne der Datenschutzgesetze (DSGVO, KDG und DSG-EKD) führen können. Microsoft hat z. B. Schutzmechanismen wie Bring your Own Key oder Double Key Encryption im Portfolio, die dazu dienen können, Datenschutzrisiken zu minimieren.

Handlungsempfehlungen der EU-Kommission, der EU- oder der kirchlichen Datenschutzaufsicht existieren bislang nur in begrenztem Umfang. Darin wird u.a. empfohlen, alle im Einsatz befindlichen Cloud-Produkte (Microsoft, Google, Apple, Amazon etc.) auf die Auswirkungen des Privacy Shield Urteils zu überprüfen und die Grundlage der jeweiligen Datenübermittlungen festzustellen.

Bei den Produkten im Portfolio der ECKD Service GmbH handelt es sich im Wesentlichen um die Dienste Microsoft Azure, Microsoft 365 sowie Cisco Meraki, die eine Datenübermittlung in die USA beinhalten. Sprechen Sie uns an – wir beraten Sie gerne, inwiefern dieses Urteil Auswirkungen auf Ihre individuelle IT-Lösung hat. Wir zeigen Ihnen Wege auf, Datenschutzrisiken zu minimieren. Wir können mögliche technische Alternativen vorschlagen, digital Einwilligungen der Betroffenen in Ihrer Organisation einholen (mittels Consent Tools) oder erstellen mit Ihnen eine passende Exit-Strategie. Für eventuelle Rechtsberatungen stellen wir Ihnen gerne den Kontakt zu einer namhaften, im Datenschutzrecht spezialisierten, Rechtsanwaltskanzlei her.

Im Bereich Videokonferenzen und kollaborative Dokumentenbearbeitung stehen Ihnen unsere kostenfreien und datenschutzkonformen Anwendungen ITM.Meet und ITM.Pad zur Verfügung. Außerdem bieten wir Ihnen bekannte Lösungen aus unseren eigenen Rechenzentren an, die wir selbstverständlich ebenfalls Datenschutz-konform betreiben. Hier sind wir durch unsere churchX Plattform so flexibel aufgestellt, dass Sie als Kundin oder Kunde entscheiden können, welche Lösung zum Einsatz kommen soll. Dabei lassen sich die einzelnen Funktionen aus einem Baukasten zusammensetzen. So ist es z.B. möglich, eine proprietäre Technologie wie Microsoft 365 aus der Cloud zu nutzen oder eine Open Source Lösung wie die Nextcloud oder Kopano aus unserem hauseigenen Rechenzentrum.

Kommen Sie auf uns zu – wir unterstützen sie gerne bei Ihren Projekten und zeigen Ihnen die Möglichkeiten auf.

Die Entwicklungen der Auswirkungen des EuGH-Urteils werden von uns weiterhin intensiv beobachtet. Unmittelbar nach dem Urteil sind Gespräche zwischen der EU und den US-amerikanischen Behörden aufgenommen worden, mit dem Ziel, möglichst kurzfristig ein neues Abkommen zur Sicherung eines angemessenen Datenschutzniveaus herzustellen.

Hinweis: Diese Informationen stellen keine Rechtsberatung dar, hierzu kontaktieren Sie bitte den Datenschutzbeauftragten Ihrer Organisation oder wir vermitteln gerne den Kontakt zu einer im Datenschutzrecht spezialisierten Kanzlei.

Am 30.10.2020 eröffnen wir unsere neuen Kreativ- und Tagungsräume in Kassel – die EPIC fields. Mit einem Schwerpunkt auf individuell gestalteten...

weiterlesen

Durch den aktuellen Digitalisierungsschub setzen kirchliche und soziale Einrichtungen an den Stellen, wo persönliche Kontakte vorübergehend nicht...

weiterlesen

Mit seinem Urteil vom 16.07.2020 hat der Europäische Gerichtshof die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes...

weiterlesen