Großer Schritt zur digitalen Souveränität Europas„Privacy Shield“ vom Europäischen Gerichtshof abgeschmettert
17. Juli 2020Die Entscheidung des Europäischen Gerichtshofs in Bezug auf den EU-US Privacy Shield hat den Transfer jeglicher persönlicher Daten in amerikanische Public-Cloud-Dienste wie Microsoft OneDrive, Google Drive, Dropbox oder Box.com für unrechtmäßig erklärt. Mit dem Urteil rücken europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Lösungen weiter in den Vordergrund.
Das aktuelle EuGH-Urteil beinhaltet eine klare Anweisung an alle Unternehmen, Behörden und Organisationen: Der sogenannte EU-US Privacy Shield darf ab sofort nicht mehr angewendet werden, um den Transfer persönlicher Daten in die USA zu begründen. Die Standard-Vertragsklauseln der Europäischen Union können als Grundlage genutzt werden, dabei muss aber jeweils überprüft werden, ob das hohe Datenschutzniveau der EU eingehalten wird.
Diese Prüfung obliegt dem jeweiligen Unternehmen, das die Datenhoheit ausübt. In der Praxis wird diesaber entweder nicht möglich sein, oder aber sie wird spätestens an der Gesetzeslage in den USA scheitern. Solange ein Zugriff über den US Cloud Act nicht ausgeschlossen werden kann, betrifft das Urteil auch alle Cloud-Dienste von US-amerikanischen Muttergesellschaften – unabhängig davon, ob sich das Rechenzentrum in Deutschland oder einem anderen Land befindet.
„Das heutige EuGH-Urteil stellt ein großes Problem für die amerikanischen Cloudspeicher-Dienste dar“, so kommentiert Tobias Gerlinger die Situation. Für den CEO und Managing Director von Owncloud bedeutet dies im Endeffekt, dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstoße und somit empfindliche Strafen drohen: „Damit wird die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden vom heutigen Tag an stark eingeschränkt.“
Mit dem Urteil des Europäischen Gerichtshofs ist es nun auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter nicht viel wert sind. „Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht“, fügt Gerlinger hinzu. „Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.“
Mit dieser gerichtlichen Entscheidung sei ein großer Schritt hin zur digitalen Souveränität Europas absolviert, so Gerlinger. Der EuGH habe erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist. (rhh)