US-Datentransfer kann mit Verschlüsselung abgesichert werden

Ein neues Urteil (Az. 251.378) wurde am 19. August 2021 von dem belgischen Staatsrat, dem obersten Verwaltungsgericht Belgiens, erlassen. Dabei geht es wie so oft um das Schrems-II-Abkommen, den Datentransfer von der EU in die USA und Standardvertragsklauseln. 

Diskutiert wurde in Belgien, unter welchen Bedingungen US-Cloud-Dienste nach dem sog. Schrems-II-Urteil noch genutzt werden können. Es kam zu einer Entscheidung: Laut dem Europäischen Datenschutzausschuss (kurz EDSA) bedarf es zusätzlicher Absicherungsmaßnahmen, damit amerikanische Cloud-Dienste verwendet werden können. Dem stimmte das belgische oberste Verwaltungsgericht zu. Kernaussage war dabei, dass “eine Verschlüsselung mit separater Schlüsselverwaltung neben dem Abschluss von Standardvertragsklauseln demnach als ausreichende ergänzende Maßnahme gelten kann.” Grundsätzlich würde die Verschlüsselung somit grundsätzlich auch den Anforderungen der DSGVO gerecht werden. Ein Problem stellte sich indes schon heraus: Es lässt sich anhand des Urteils nicht genau ermitteln, welche Art und Weise von Verschlüsselung notwendig seien, um einen datenschutzrechtlichen Datentransfer zu leisten. Das ist auch aufgrund des Schrems-II-Urteils schwer zu identifizieren: Hintergrund dessen war, dass das Datenschutzabkommen Privacy-Shield für ungültig erklärt wurde. Demnach ist der EU-US Datenfluss nur unter den sogenannten Standardvertragsklauseln gültig (hier nochmal zum Nachlesen: Neue Standardvertragsklauseln: Das müssen Sie jetzt tun – Website-Check.de). Nichtsdestotrotz herrscht immer noch ein gewisser Dissens, inwiefern personenbezogene Daten von der EU in die USA “fließen” können. Die Grenzen sind theoretisch gesetzt, in der Praxis sieht dies jedoch anders aus. Oftmals sind die gesetzlichen Grundlagen praktisch schwer umzusetzen. Demnach wird dazu geraten, den Datentransfer in die USA gänzlich zu vermeiden, sofern es denn geht. 

Zusätzliche Maßnahmen empfohlen

Hintergrund des Urteils vom 19. August 2021 des belgischen Staatsrats war die Vergabe eines öffentlichen Auftrags. Ein holländisches Unternehmen klagte, da dieses Unternehmen aufgrund eines Ausschreibungsverfahrens der öffentlichen Verwaltung seinen Auftrag an den Amazon-Cloud-Anbieter AWS verloren hatte. Folglich wurde gerichtlich darüber entschieden: Unternehmen können Behörden und wirtschaftliche Unternehmen US-Cloud-Dienste nur mit zusätzlichen Sicherungsmaßnahmen nutzen. 

Die “zusätzlichen Maßnahmen”, die von der EDSA empfohlen wurden gibt es hier nachzulesen (PDF)

Wichtige gerichtliche Anerkennung der EDSA-Vorgaben

Aufgrund des Schrems-II-Urteils gibt es mehrere Beschwerdeverfahren, die bislang jedoch von den Gerichten noch nicht entschieden wurden. Das belgische Urteil zu der Schrems-II- Entscheidung stellt daher bis jetzt eine der einzigen rechtlichen Grundlagen auf europäischer Ebene dar. Auch in Deutschland wird dieses jetzt angewandt und umgesetzt. 

Zu der belgischen Entscheidung hat indes auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Stellung genommen: Der Präsident des BayLDA, Michael Will,  ist erfreut über das Urteil und empfindet dies als “ein wichtiger Beitrag zur einheitlichen Anwendung des europäischen Datenschutzrechts und zur Verbesserung der Rechtssicherheit.” Das Urteil des belgischen Verwaltungsgericht wurde nun als “geeigneter Beurteilungsmaßstab” durch den belgischen Staatsrat anerkannt und genießt eine unmittelbare Bindungswirkung gegenüber Gerichten. 

Zudem äußert sich Will bezüglich der Entscheidung: “Sie bestätigt, dass auch Datenübermittlungen in die USA durch den Einsatz wirksamer Verschlüsselungsmaßnahmen und die Übertragung des Schlüssels allein an den in der EU ansässigen Verantwortlichen datenschutzgerecht abgesichert werden können.” 

Inwiefern andere Staaten und Gerichte Referenz zu dem Schrems-II-Urteil und über den US-Datentransfer nehmen werden, wird sich in Zukunft zeigen. Das belgische Urteil ist jedoch ein Anfang für einen einheitlichen europäischen Datenschutz.

Bildquelle: Bild von sumanley von pixabay