Datenschutz-Aufsichtsbehörden nehmen Unternehmen wegen der Nutzung von US-Clouddiensten wie Amazon, Microsoft, Google, Dropbox, WeTransfer usw. ins Visier, weil die US-Geheimdienste weitgehenden Zugriff auf dort gespeicherten Daten haben.
Nach einem Vortsoß der Berliner Datenschutzbehörde im Frühjahr 2021 schlossen sich nun 9 weitere deutsche Bundesländer der Initiative an.
Grundlage der Aktivitäten sind Fragenkataloge der Datenschutzkonferenz (DSK). Untersuchte Unternehmen müssen gegenüber den Aufsichtsbehörden begründen, auf welcher Grundlage sie US-Anbieter einsetzen. Fällt die Antwort nicht zufriedenstellend aus, könnten die Firmen gezwungen werden, den Anbieter zu wechseln.
Was wollen die Behörden von den Unternehmen wissen?
Die deutschen Behörden haben inzwischen die Fragebögen veröffentlicht, damit Unternehmen die Chance jaben, gegebenenfalls vorhandene Missstände selbst zu erkennen und umgehend zu beheben.
Konkret handelt es sich dabei um folgende Fragebögen:
- Zum Einsatz von Dienstleistern zum E-Mail-Versand (PDF)
- Zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten (PDF)
- Zum Einsatz von Webtracking (PDF)
- Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten (PDF)
- Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten (PDF)
Abgedeckt werden damit unterschiedliche Gebiete des geschäftlichen Umgangs mit personenbezogenen Daten, in denen das Thema Drittlandtransfer eine besonders große Rolle spielt.
Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH) zum EU-US-Datenschutzabkommen „Privacy Shield“ vom Juli 2020, das die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA wegen ungenügenden Datenschutzes für unzulässig erklärte, weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben.
Viele US-Cloud-Dienste verstoßen damit gegen die europäische Datenschutz-Grundverordnung (DSGVO). Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.
Es ist zu erwarten, dass österreichische Behörden bald dem deutschen Beispiel folgen werden und es auch hierzulande höchste Zeit wird, sich um datenschutzkonforme Alternativen umzuschauen. Und es wird Zeit, dass Bedingungen innerhalb Europas geschaffen werden, um heimische IT-Lösungen zu entwickeln, die mit denen von Dienstleistern in Übersee konkurrenzfähig sind.