Persönliche Daten gehören nicht auf US-Cloud-Server
Die Folgen des Grundsatzurteils des Europäischen Gerichtshofs (EuGH), das den ungehinderten Datenaustausch im Jahr 2020 stoppte, kommen jetzt bei den Unternehmen an. Darum sind Firmen aus Deutschland, die ihren IT-Dienstleister damit beauftragen, persönliche Daten von Kunden oder Nutzern auf der Website zu sammeln, in heller Aufregung. Ein Risiko entsteht immer dann, wenn diese Informationen auf einem US-Cloud-Server gespeichert sind.
Das Verwaltungsgericht Wiesbaden (VG) untersagte der Hochschule RheinMain in einem Eilverfahren, den Cookie-Manager "C[xxx]bot" auf ihrer Webseite einzusetzen. Denn bei dieser Cookie-Management-Plattform fließen die personenbezogene Daten (z. B. die ungekürzte IP-Adresse) über einen Cloud-Anbieter in Dänemark direkt und unverschlüsselt in die USA.
EuGH-Urteil in die Praxis umgesetzt
In ihrem Urteil verweisen die Wiesbadener Richter auf das EuGH-Urteil im Fall Schrems II. Das setzte eine informelle Absprache auf dem Gebiet des Datenschutzrechts (Privacy-Shield-Abkommen) zwischen EU und USA außer Kraft. Hintergrund dafür ist, dass amerikanische Behörden durch Gesetz, dem sogenannten CLOUD Act (Clarifying Lawful Overseas Use of Data Act) seit 2018 jederzeit ungehinderten Zugriff auf die Daten von Servern haben, die in den USA stehen.
Der EuGH sieht darin einen Verstoß gegen europäisches Datenschutzrecht. Die Luxemburger Richter verlangen seit zwei Jahren, dass Daten von EU-Bürgern nur dann in Drittländer übermittelt werden dürfen, wenn diese einen gleichwertigen Datenschutz wie in der EU haben. Für die USA hat der EuGH dieses Schutzniveau jedoch verneint.
Tech-Riesen sind auch betroffen
Das Urteil aus Wiesbaden hat Auswirkungen auf viele andere Dienste und Tools von US-Internetkonzernen, die in zahllosen deutschen Unternehmen genutzt werden. Betroffene US-Anbieter sind z. B. auch Google, Microsoft, Facebook etc. Auch sie spielen unverschlüsselt Daten aus Europa auf ihre in Amerika stehende Cloud-Server und verstoßen damit teils gegen das europäische Datenschutzrecht.
Als sichere Alternativen empfehlen Juristen die Nutzung von Diensten, die eine durchgehende Verschlüsselung anbieten. Möglich sind auch Treuhandlösungen, bei denen US-Konzerne mit europäischen Anbietern zusammenarbeiten, um die Kunden-Daten europäischer Nutzer vor dem Zugriff durch US-Behörden zu schützen.
Fazit: Website-Betreiber dürfen persönliche Kundendaten sammeln. Diese dürfen aber nicht mehr unverschlüsselt auf US-Cloud-Server übertragen oder dort gespeichert werden. Checken Sie die von Ihnen genutzten Tools.
Urteil: VG Wiesbaden vom 1.12.2021, Az.: 6 L 738/21.WI; EuGH vom 16.7.2020, Az.: C-311/18