Okay für Cloud-Standardvertragsklausel: Google kommt Europa beim Streitthema Datentransfer entgegen
Der Satz hat es in sich: „Google macht für Cloud-Services Standardvertragsklauseln verfügbar.“ Er fiel auf der Privacy-Konferenz des IT-Verbands Bitkom, mit Bedacht ausgesprochen von Peter Fleischer, dem Datenschutzanwalt von Google.
Fleischer reagiert damit auf ein Urteil des Europäischen Gerichtshofs (EuGH) von 2020. Der EuGH hatte in aufsehenerregender Rechtsprechung dem transatlantischen Datenschutzschild „Privacy Shield“ eine Abfuhr erteilt („Schrems-II-Urteil“). Nun regelt der in Bedrängnis gekommene Suchmaschinengigant nach.
EuGH macht dunkle Kanäle dicht
Was hat es mit dem US-amerikanischen Sicherheitsprogramm auf sich? „Privacy Shield“ sollte eine wesentliche Rechtsgrundlage für den Transfer personenbezogener Daten von EU-Bürgern in die USA sein. Nun existieren in den USA jedoch Gesetze, die gegen europäisches Datenschutzverständnis verstoßen, indem sie Ermittlungsbehörden sehr weitreichende Befugnisse für den Zugriff auf EU-Nutzerdaten gewähren. Mit anderen Worten: Trotz des nach Datensicherheit klingenden Namens wäre mit „Privacy Shield“ US-Geheimdiensten, wie CIA, NSA oder FBI, Tür und Tor geöffnet worden. Wer in Europa Facebook und Co. nutzt, hätte keine Gewähr, dass seine Daten auf der anderen Seite des Atlantiks im Mutterland dieser Konzerne wirklich vertraulich und mit der DSGVO vereinbar behandelt würden.
Das EuGH bezieht sich in seinem Urteil auf die Normen der DSGVO, die den Datentransfer in ein Drittland nur dann erlauben, wenn dort ein angemessenes Schutzniveau vorausgesetzt werden kann. Darüber dürfe die EU-Kommission entscheiden. Bleibt dieser Beschluss aus, müssten Datenexporteure aus dem EU-Raum „geeignete Garantien“ vorweisen. Dies ist der Punkt, mit dem sich die US-Konzerntöchter auf europäischem Boden seitdem auseinandersetzen.
Google akzeptiert die SVK der EU
Als die EU-Kommission im Juni 2021 die Standardvertragsklauseln (SVK) für die Datenübermittlung an die Vorgaben des EuGH anpasste, war dies eine transatlantische Handreichung. Dieser alternative Modus ist DSGVO-konform und eine Aufforderung an US-Datenimporteure, Regelungen zuzustimmen, wie der, dass die von einem Antrag amerikanischer Dienste auf Datenabfrage betroffenen EU-Bürger darüber informiert werden sollen. Diese SVK-Regeln hat Google nun akzeptiert. Dazu Peter Fleischer diplomatisch: „Wir nutzen die verfügbaren Instrumente, um das Beste aus der bestehenden Rechtsunsicherheit zu machen.“
Garantien für EU-Bürger
Google als bedeutender Datenimporteur will seinen europäischen Nutzern künftig garantieren, dass der Umgang mit Datenströmen aus Europa innerhalb der „Gesetze des Bestimmerdrittlandes“ datenschutzgerecht im Sinne der EU-Kommission abläuft. Offen ist noch, wie auf „verbindliche Ersuche“ einschlägiger US-Behörden reagiert werden soll. In diesem Fall steht Google nun in der Informationspflicht. Sollten Regierungsbehörden eine Information untersagen, will der Megakonzern „nach besten Kräften“ eine Aufhebung dieses Verbots bewirken und dafür alle verfügbaren Rechtsmittel ausschöpfen.
Weiterhin verpflichtet sich Google mit Übernahme der Standardvertragsklauseln, die Datenmenge an persönlichen Informationen nun möglichst komprimiert, verschlüsselt und mit Pseudonymen zu transferieren. Laut Fleischer wird dazu verstärkt Verschlüsselung eingesetzt. Mittelfristig sollen Daten außerdem nur noch für den Kunden selbst lesbar sein, also nicht mehr für die Datenplattform Google. Der Datenschutzanwalt stellte den Europäern auch in Aussicht, dass Google fortan fortschrittliche Datenschutztechnologien, wie „Federated Learnin“ und „Differential Privacy“, anzuwenden bereit ist. Für Überraschung hat sicher auch die Bekanntgabe gesorgt, der Internetriese entwickle gerade mit der Deutschen Telekom eine unabhängige Cloud für optimale Datensicherheit.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Übersichtliche Prozessdarstellungen
- Sofort einsetzbare Schulungen