US-Datentransfers: Google bessert beim Datenschutz in der Cloud nach

Für eigene Cloud-Dienste macht Google nun die überarbeiteten Standardvertragsklauseln verfügbar, um das Übermitteln von Daten in die USA zu vereinfachen.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 22 Beiträge

(Bild: Tommy Lee Walker / Shutterstock.com)

Von
  • Stefan Krempl

Google will in der EU die rechtssichere Anwendung von Diensten des kalifornischen Konzerns mit Cloud-Komponenten wie Gmail, Online-Büroanwendungen oder dem Videokonferenzsystem Meet erleichtern, über die persönliche Daten in die USA übertragen werden. "Google macht für Cloud-Services Standardvertragsklauseln verfügbar", erklärte der globale Datenschutzanwalt des Unternehmens, Peter Fleischer, am Montag auf der Privacy-Konferenz des IT-Verbands Bitkom. Dies gelte ab sofort.

"Wir nutzen die verfügbaren Instrumente, um das Beste aus der bestehenden Rechtsunsicherheit zu machen", führte Fleischer aus. Er spielte damit auf das Urteil des Europäischen Gerichtshofs (EuGH) aus dem vorigen Jahr an, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte.

Die Luxemburger Richter stellten mit ihrem "Schrems-II-Beschluss" zum wiederholten Mal fest, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht. Die EU-Kommission bemühte sich daher, die Standardvertragsklauseln (SVK) als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen und veröffentlichte die neue Version Anfang Juni.

Die überarbeiteten Regeln gelten nun auch bei Google. Damit einher gehen erstmals Garantien, "um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands" auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem vorab zu klären, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist".

Google muss nun auch mit einem Zusatz zu den SVK zusagen, Betroffene unverzüglich zu benachrichtigen, wenn es einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Informationen gibt. Wenn dieser Schritt untersagt wird, soll sich der Konzern "nach besten Kräften um eine Aufhebung des Verbots" bemühen und gegebenenfalls "alle verfügbaren Rechtsmittel" ausschöpfen. Anzugeben sind zudem ergriffene Maßnahmen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst gering gehalten, pseudonymisiert und verschlüsselt wird.

"Wir werden stärker auf Verschlüsselung setzen", versprach Fleischer in diesem Sinne. Daten sollten mittelfristig nur noch für die Kunden lesbar sein, nicht mehr für den Plattformanbieter. Generell wolle Google einen Schwerpunkt auf Technologien legen, die den Datenschutz erhöhten ("Privacy Enhancing Technologies").

Der Jurist verwies auf Konzepte wie "Federated Learning" für eine maschinelle Nutzererkennung ohne Einbezug individuellen Verhaltens oder "Differential Privacy", womit sich aggregierte Daten nach dem Hinzufügen von Hintergrundrauschen so veröffentlichen lassen, dass Einzelne nicht mehr einfach identifizierbar sind. Ferner sollten Daten stärker auf Endgeräten wie Smartphones direkt verarbeitet werden, um ein Hochladen in die Cloud zu erübrigen. Parallel arbeitet Google mit der Deutschen Telekom an einer "souveränen" Cloud mit besseren Kontrollmöglichkeiten.

Individuelle Angemessenheitsentscheidungen, mit denen die Kommission das Datenschutzniveau in anderen Ländern wie Großbritannien für vergleichbar zu denen in der EU erklärt, skalieren laut Fleischer dagegen nicht global. Zumindest habe die Brüsseler Regierungsinstitution hier bei der Erklärung zu Japan aber festgestellt, dass in Drittstaaten kein "Klon" der Datenschutz-Grundverordnung (DSGVO) nötig sei. Er hoffe daher, dass die Kommission auch bei den laufenden Verhandlungen über ein erweitertes Datenschutzschild mit den USA "mehr Flexibilität" zeige.

Beide Seiten arbeiteten mit Hochdruck an den drei Körben der Notwendigkeit, der Verhältnismäßigkeit und einer angemessenen Klagemöglichkeit für EU-Bürger in den USA mit einem verstärkten Abkommen, berichtete Alex Greenstein, der beim US-Handelsministerium für den Privacy Shield zuständig ist. Knackpunkt sei der Zugriff der Regierung auf persönliche Daten. Hier gebe es zwischen beiden Blöcken ein gemeinsames Verständnis, dass es dafür Schranken geben sollte. Das US-Justizministerium und der nationale Geheimdienstbeauftragte hätten dazu bereits ein Weißbuch herausgegeben.

"Wir müssen das Rad nicht neu erfinden", meinte Greenstein. Es gelte, die Zusicherungen im Bereich der inneren Sicherheit zu verstärken, auch wenn die USA hier eh kein "Wilder Westen" seien. Der Rest mit den wirtschaftlichen Vereinbarungen könne bestehen bleiben. Eine "schnelle und einfache Reparatur" des Privacy Shield werde es aber nicht geben, dämpfte er nach der zweiten, vorige Woche in Brüssel erfolgten Gesprächsrunde unter der Biden-Regierung die Erwartungen. "Wir brauchen einen belastbaren Ansatz", der auch einer weiteren Klage vor dem EuGH standhalten könne. Ein solcher mache gegebenenfalls auch gesetzgeberische Schritte erforderlich.

Katharina Ludewig, Datenschutzanwältin bei Coca-Cola, drängte auf Klarstellungen auch beim Transfer etwa in Richtung Russland, Brasilien und Saudi-Arabien. Nötig sei hier ein stabiles Rahmenwerk, nicht zuletzt im Interesse der Verbraucher.

Ein universelles Verständnis wäre am besten, pflichtete ihr der Bundesdatenschutzbeauftragte Ulrich Kelber bei. Es liefen bereits Gespräche zwischen den Aufsichtsbehörden, um zumindest zwischen den großen westlichen Volkswirtschaften einen freien Datenfluss zu erlauben. Dies erfordere aber eine gleich hohe Schutzebene. Bei den Verhandlungen dürfe es nicht darum gehen, den kleinsten gemeinsamen Nenner zu finden, zumal sich der Datenschutz in Europa aus den Grundrechten ableite.

Mit dem Schrems-II-Urteil müssten eigentlich alle Datenexporteure die Rechtssituation in Drittländern einschätzen, gab Kelber zu bedenken. Gerade für kleine und mittlere Unternehmen sei dies fast unmöglich, zumal selbst die Kommission davor zurückschrecke. Für ihn bleiben Angemessenheitsbeschlüsse daher ein wichtiges Werkzeug. Zugleich ermahnte er Digitalfirmen, über deren Produkte implizit Transfers stattfinden, von sich aus zusätzliche Schutzmaßnahmen und Vereinbarungen zu treffen. Nach mehreren Landesdatenschutzbeauftragten werde auch er zeitnah in seinem Bereich stärker fallbezogen kontrollieren, ob die EuGH-Vorgaben eingehalten werden.

(mho)