Baldiges Aus für US-Daten-Dienstleister in der EU?

Geschrieben am: | Geschätzte Lesezeit: 3 Minuten

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Der Fall: Microsofts EU-Cloud

Das US-Justizministerium fordert auf Grundlage eines Durchsuchungsbeschlusses von Microsoft die Herausgabe von personenbezogenen Daten (in diesem Fall E-Mails), die in der sogenannten „EU-Cloud“ in Irland gespeichert sind. Microsoft ging gegen den Durchsuchungsbeschluss vor, verlor jedoch in einem ersten Gerichtsverfahren. Die Berufungsinstanz entschied hingegen mit drei zu null der Richterstimmen für Microsoft.

Der oberste Gerichtshof der Vereinigten Staaten (United States Supreme Court) muss nun grundsätzlich entscheiden, ob die US-Justizbehörden mit einem einfachen Durchsuchungsbefehl amerikanische Unternehmen anweisen dürfen, Daten preiszugeben, die sich in Europa befinden. Das für den 27. Februar 2018 festgelegte Revisionsverfahren hat also erhebliche Implikationen für den Datenschutz (No. 17-02 United States, Petitioner v. Microsoft Corporation, umgangssprachlich auch „Microsoft Ireland Case“).

Die Folgen: ein datenschutzrechtliches Dilemma

Sollte der Supreme Court den US-Justizbehörden Recht geben, wäre in letzter Konsequenz für in der EU ansässige Unternehmen eine Zusammenarbeit mit amerikanischen Dienstleistern kaum noch umsetzbar. Denn wenn Dienstleister im Auftrag Daten verarbeiten sollen, muss der Auftraggeber gewährleisten, dass der jeweilige Partner über ein adäquates Datenschutzniveau verfügt. Dies wäre nicht mehr gegeben, sollte US-amerikanischen Behörden nun ein direktes Zugriffsrecht auf Daten, die von amerikanischen Unternehmen physisch in Europa gespeichert werden, zugesprochen werden.

Entsprechendes gilt für europäische Unternehmen, die sowohl in der EU als auch in den USA operieren. Diese müssten sich in vergleichbaren Fällen in Zukunft entscheiden, entweder gegen EU-Datenschutzrecht oder US-Recht zu verstoßen. Auch dies müssten Auftraggeber im Rahmen der Datenverarbeitung in ihre Prüfung des Verarbeiters bzw. Dienstleisters berücksichtigen.

Das EU-U.S. Privacy Shield, ein Abkommen zwischen der EU und den USA hinsichtlich der Gewährleistung von Mindeststandards im Datenschutz von US-Unternehmen, könnte von diesem Urteil ebenfalls zu Fall gebracht werden.

Fazit: Schnelles Handeln und ggfs. Alternativen sind gefragt

Das mit Spannung erwartete Urteil hat also die Sprengkraft, wirtschaftliche und informationstechnische Verflechtungen zwischen der EU und den USA nachhaltig zu beschädigen. Unternehmen, die US-Dienstleister oder Dienstleister mit einem Sitz (bzw. einer Konzernmutter oder -tochter) in den USA bei der Auftragsverarbeitung einsetzen, müssen nach dem Urteil ggfs. schnell handeln. Es kann deswegen ratsam sein, sich jetzt schon nach Alternativen umzusehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.