Wenn Deutschland von Digitalisierung spricht, dann wird dieses oftmals mit den Cloud Diensten von US Unternehmen in Verbindung gebracht. Was wäre die deutsche digitalisierte Unternehmenswelt ohne Google und ohne Amazon Web Services. Praktisch natürlich auch die zahlreichen Mehrwertleistungen mit so zauberhaften Bezeichnungen wie Google Analytics, Google Maps, Google Adsense welche definitiv keinen Datenschützer und Datenschutzbeauftragten verzaubern lassen.

Was wäre die Welt ohne Google und ohne Amazon Web Services. In Deutschland wohl kaum denkbar, kaum ein kleines, mittelständisches Unternehmen und kaum ein Konzern, der nicht die Software Lösungen von diesen US Unternehmen einsetzt, zu welchen Zweck auch immer.

Sind Google Workspace und Amazon Webservices DSGVO konform?

Hier kann man einfach nur ehrlich mit einem klaren “Nein” argumentieren, jedenfalls dann, wenn seitens der Unternehmungen keine maßgeblichen Dinge unternommen werden um die vorhandenen und real existierenden DSGVO Lücken professionell zu schließen. Dieses wiederum bedeutet einen erheblichen Mehraufwand und damit zwangsläufig  verbunden höhere Kosten und Menpower. Irgendwie doch doof, wollte man es doch einfach und bequem haben und das Rad nicht neu erfinden müssen.

Bequemlichkeit hat aber einfach mal ihren Preis und jetzt mal ehrlich, gibt es keine europäischen Anwendungen die den gleichen Zweck erfüllen? Gibt es keine deutschen / europäischen Cloudlösungen, gibt es keine Alternative zu Google Analystics und gibt es nur Google Adsense? Nein, natürlich nicht, aber warum etwas anderes, etwas DSGVO konformes nutzen, wenn die US Profis doch alles perfekt liefern?

Als externer Datenschutzbeauftragter landen zahlreiche Projekte auf meinem Tisch mit der Anforderung diese dann doch DSGVO tauglich zu bekommen. Fast täglich höre ich mir das Leid der Unternehmer an wie starr der Datenschutz doch ist und wie dieser alles blockiert. Aha tut er das oder fordert der Datenschutz nicht einfach dazu auf den Umgang mit personenbezogenen Daten verantwortungsvoll anzugehen und Lösungen einzusetzen die dieser Zielsetzung gerecht werden? Der Datenschutz verbietet nicht den Einsatz von Cloud – Lösungen und verbietet auch nicht den Einsatz von geeigneten Marketing Tools. Das sollte jedem Unternehmen und jeder Unternehmung klar sein.

DSGVO Probleme mit US Lösungen generell

Das Problem scheint doch hausgemacht zu sein. Frage ich Unternehmen warum die Entscheidung für Amazon und Google ausgefallen ist, dann höre ich immer die selben Antworten “hat doch jeder”, “ist am günstigsten”, bietet die meisten Features” und “entspricht doch den Anforderungen an den Datenschutz” bzw. “erfüllt die Anforderungen der DSGVO”! Wenn dem so, dann frage ich mich warum so viele Unternehmen besonders in diesem Bereich professionelle Datenschutzberatung und – Betreuung anfragen!

Aber um was geht es eigentlich?
US-amerikanische Anbieter von elektronischen Kommunikationsdiensten oder CloudServices ( US-Provider ) sind in den meisten Unternehmen aus dem Alltag nicht mehr wegzudenken. Dabei ist die Beauftragung von US-Providern unter Geltung europäischen Rechts durchaus mit rechtlichen Risiken verbunden. Denn während das EU-Recht einen grundrechtsgebundenen Ansatz verfolgt, in dem es vor allem um den Schutz der Betroffenen geht, ist das Datenschutzrecht in den USA im Wirtschaftsrecht angesiedelt und erhält damit dort deutlich weniger Relevanz.

Am 23. März 2018 ist zudem der Clarifying Lawful Overseas Use of Data Act ( CLOUD Act 1) in Kraft getreten. Der CLOUD Act ermöglicht es US-Behörden, Zugriff auf die jenigen Daten zu verlangen, die US-Provider ( auch über Tochterunternehmen ) im Ausland speichern. Es können also auch Daten betroffen sein, die innerhalb der Europäischen Union ( EU ) verarbeitet werden oder aus anderen Gründen unter die Regelungen der DSGVO fallen. Der Schutz der Daten vor behördlichem Zugriff kann also mit Geltung des CLOUD Acts nicht mehr dadurch erreicht werden, dass diese außerhalb der USA gespeichert werden. Europäische Unternehmen müssen bei der Beauftragung von US-Providern die neue Rechtslage beachten und bestehende Risiken gegeneinander abwägen.