Bis zum Juli 2023 war der Einsatz US-amerikanischer Dienstleister aus datenschutzrechtlicher Sicht lange Zeit mit einem Restrisiko versehen, auch wenn de facto die personenbezogenen Daten auf Servern innerhalb der EU verarbeitet wurden. Amazon Web Services (AWS) ist als führender US-amerikanischer Cloud-Anbieter wohl jedem Unternehmen ein Begriff. Was sich an der ursprünglichen Problematik am Einsatz von AWS durch das EU-U.S. Data Privacy Framework geändert hat und ob die Nutzung der AWS-Cloud möglicherweise problematisch ist, wird auch anhand bisheriger behördlicher und gerichtlicher Entscheidungen näher beleuchtet.
Der Inhalt im Überblick
Ist die Nutzung der AWS-Cloud problematisch?
Im vergangenen Jahr wurde der langersehnte Angemessenheitsbeschluss für die USA erlassen und erleichtert seither – trotz bestehender Kritik selbst durch die Aufsichtsbehörden – den unternehmerischen Einsatz marktführender US-Dienstleister. Doch lange Zeit stieß ihr Einsatz auf datenschutzrechtliche Bedenken und Probleme – auch der von AWS.
Standort der AWS-Server und Firmensitz
Amazon Web Services (kurz: AWS) ist eine Tochtergesellschaft des marktführenden Online-Versandhändlers Amazon. Nicht überraschend dürfte also sein, dass die 2006 gegründete Tochtergesellschaft – wie auch ihr Mutterkonzern – nativ in den USA ansässig ist.
Weil US-amerikanische Anbieter aufgrund eines möglichen Datentransfers in die USA jahrelang in der Kritik europäischer Datenschützer standen, führte AWS zur Kompensation dieses Problems sog. Regionen ein. Seither bietet AWS seinen Cloud-Kunden die Auswahl von physischen Serverstandorten aus insgesamt 33 Regionen an.
In Europa wurde 2007 der erste Serverstandort in Irland in Betrieb genommen, 2014 folgte dann das Rechenzentrum in Frankfurt. Aktuell werden Rechenzentren-Cluster in insgesamt 8 Regionen innerhalb Europas betrieben; ein weiterer Standort in Deutschland ist zur Zeit in Planung. Doch mit der Wahl des physischen Serverstandortes in Europa konnte und kann ein Datentransfer in die USA nicht gänzlich ausgeschlossen werden.
Datentransfer zwischen EU und USA bei bestimmten AWS Services
AWS verspricht, dass die Kundendaten der Cloud-Kunden grundsätzlich in der ausgewählten AWS-Region verbleiben. Entscheidet sich ein in Deutschland ansässiges Unternehmen also zur Nutzung des Cloud-Anbieters und wählt hierbei die Region Europa (Frankfurt) aus, verlassen die über die Cloud gespeicherten Daten diese Region grundsätzlich nicht.
Bei einigen Services allerdings können bzw. müssen teilweise Daten in die USA übertragen werden. AWS klärt hierüber auf und unterscheidet dabei zwischen Services, bei denen der Kunde die Übertragung der Kundendaten ablehnen kann und solchen, bei denen die Übertragung der Kundendaten als wesentliche Funktion des Services stattfindet und eine Ablehnung folglich nicht möglich ist. Zumindest bei der Nutzung dieser Services findet eine Übermittlung in die USA statt.
Probleme bei AWS durch Schrems II und dem US-CLOUD Act
Seit Jahren sorgte die Datenübermittlung in die USA für Probleme im Datenschutz und stellte Unternehmen bei der Wahl von Cloud-Providern vor unsägliche Hürden. Bekannte Cloud-Anbieter waren und sind meist US-Dienste, wenn es um die Qualität, Sicherheit und sicherlich (auch) um den Preis geht. Doch sorgte das Urteil des EuGH „Schrems-II“ 2020 dafür, dass seit jeher der Datentransfer in die USA als unsicher eingestuft wurde.
Und das trotz der Standardvertragsklauseln, welche gemäß Art. 46 Abs. 2 lit. c) DSGVO) doch eigentlich eine geeignete Garantie für die Datenübermittlung darstellen sollten. Hintergrund dieser langanhaltenden Rechtsunsicherheit war das Datenschutzniveau in den USA, insb. der sog. US-CLOUD Act, der den US-Behörden den Zugriff auf die von IT-Dienstleistern gespeicherten Daten gewährt, auch wenn diese nicht in den USA, sondern auf Servern in der EU verarbeitet werden. Ein Durchgriff auf die durch europäische Tochtergesellschaften gespeicherten Daten in Europa wäre allein deshalb denkbar, weil der Mutterkonzern in den USA ansässig ist.
„Zusätzliche Schutzmaßnahmen“ als Schlüssel zum Erfolg?
Mit der einfachen Wahl von Serverstandorten in Europa war es bei der Nutzung von US-Cloud-Providern wie AWS also nicht getan. Zusätzlich zum Abschluss der 2021 neu erlassenen Standarddatenschutzklauseln mussten Unternehmen mit dem Cloud-Provider also „zusätzliche Schutzmaßnahmen“ für die Datensicherheit treffen und unter Prüfung der Rechtslage und -praxis im Empfängerland eine Risikoeinschätzung durchführen (sog. Transfer Impact Assessment).
Als zusätzliche bzw. ergänzende Maßnahmen, die das Schutzniveau der übermittelten Daten dem unionsrechtlichen Standard gleichsetzen sollte, nannte der EDSA in seinen Empfehlungen (PDF) bspw. die Übermittlung nur pseudonymisierter Daten, sodass der Cloud-Service-Provider keinen Zugang zu unverschlüsselten Daten erhielt.
Auch AWS bot Cloud-Kunden schon langjährig die Möglichkeit, die gespeicherten Daten selbst noch einmal zu verschlüsseln. Zusätzlich verpflichtete sich AWS u.a. 2022 zur Befolgung des CISPE-Verhaltenskodex für Datenschutz, einer Verhaltensregel für Cloud-Anbieter, die 2021 vom EDSA genehmigt und 2021 durch die französische Aufsichtsbehörde CNIL verabschiedet wurde. Nichtsdestotrotz war der Einsatz von US-Cloud-Providern, wie AWS weiterhin mit Rechtsunsicherheit und enormen Aufwand für Unternehmen verbunden.
Was ändert sich durch das EU-U.S. Data Privacy Framework?
Am 10. Juli 2023, beinahe auf den Tag genau drei Jahre nach Schrems-II, erließ die Europäische Kommission den lang ersehnten Angemessenheitsbeschluss für die USA. Das EU-U.S. Data Privacy Framework gilt seither als Nachfolger des 2020 gekippten EU-U.S. Privacy Shields und attestiert den USA ein angemessenes Schutzniveau für solche personenbezogenen Daten, die im Rahmen des Datenschutzrahmens von der EU an die USA transferiert werden. Wie auch sein Vorgänger gilt der Angemessenheitsbeschluss gem. Art. 45 Abs. 1 S. 1 DSGVO nur sektoral, also nur für Übermittlung an US-Unternehmen, die sich für das EU-U.S. Data Privacy Framework zertifiziert haben.
Amazon.com, Inc., sowie fünf weitere Tochtergesellschaften (darunter auch Amazon Web Services, Inc.) sind nach dem EU-U.S. Data Privacy Framework zertifiziert. Ein etwaiger Datenverkehr zwischen AWS und seinen Cloud-Kunden ist somit aktuell grundsätzlich unbedenklich. Unternehmen müssen dann keine weiteren besonderen Schutzmaßnahmen nachweisen; der Abschluss der Standarddatenschutzklauseln ist ebenfalls grundsätzlich nicht mehr erforderlich.
Nichtsdestotrotz stützt Amazon sich weiterhin (zusätzlich) auf die SCC. Und das ist auch gut so.
Erste Klage bereits 2023
Bereits vor Erlass des Angemessenheitsbeschlusses hatte das von Max Schrems mitgegründete Team von noyb angekündigt, gegen einen solchen Angemessenheitsbeschluss vorgehen zu wollen. Hintergrund sei u.a. weiterhin die Möglichkeit unverhältnismäßiger Zugriffe durch Behörden, die durch die bloße Zertifizierung von US-Unternehmen nicht ausgeschlossen werden.
Ende 2023 wurde schließlich die erste Klage vor dem EuGH erhoben – allerdings nicht von Max Schrems, sondern vom französischen Abgeordneten Philippe Latombe. In seiner Klageschrift (PDF) sieht sich der französische Parlamentarier in seinen Rechten verletzt. Das Framework sei demnach weder mit der DSGVO noch mit der Grundrechtecharta vereinbar. Einige Stimmen aus der Datenschutzwelt rechnen mit einem ähnlichen Ausgang wie zum Privacy-Shield 2020. Unternehmen wären in diesem Fall wieder gezwungen auf die „alten“ Mechanismen zurückzugreifen und mit der Rechtsunsicherheit bezüglich AWS zu leben – oder doch nicht?
Bisherige Entscheidungen zu AWS
Auch wenn der mögliche Datentransfer an zertifizierte US-Cloud-Provider datenschutzrechtlich zur Zeit wieder auf den aktuellen Angemessenheitsbeschluss für die USA gestützt werden kann, war AWS das ein oder andere Mal bereits Gegenstand von behördlichen und gerichtlichen Entscheidungen. Auch wenn viele dieser Entscheidungen noch unter den Auswirkungen von Schrems-II getroffen wurden, sind sie zur Einschätzung eines angemessenes Schutzniveaus von entscheidender Bedeutung.
Conseil d’Etat und die Speicherung (sensibler) Daten in der AWS-Cloud
Der Conseil d’Etat, das französische oberste Verwaltungsgericht, hatte sich unter Auswirkungen von Schrems-II daher 2021 mit der Frage auseinandersetzen müssen, ob der französische Portalanbieter Doctolib auf den in den USA hauptansässigen Cloud-Anbieter AWS zurückgreifen durfte. Es bestand der Verdacht, dass möglicherweise sensible Daten in der Cloud gespeichert werden.
Das Gericht stellte in seinem Urteil allerdings fest, dass Doctolib ausschließlich (unsensible) Terminvergabedaten auf den französischen Servern der luxemburgische Tochter AWS Sarl speicherte. Die durch den Exporteur und Importeur neben dem Abschluss der Standardvertragsklauseln zu treffenden zusätzliche Maßnahmen seien unter Berücksichtigung der Art der betroffenen Datenarten zu messen. Und diese hielt das Gericht für angemessen:
Das durch AWS speziell vereinbarte Verfahren zur Anfechtung jedes Ermittlungsantrages einer US-Behörde, das der Anbieter vertraglich seinen Cloud-Kunden zusicherte, habe für die betroffenen Terminvergabedaten einen ausreichenden Schutz geboten. Außerdem seien die Daten auf den französischen Servern von AWS verschlüsselt. Über den Verschlüsselungsschlüssel verfügte AWS selbst nicht, weshalb ein Zugriff auf den Inhalt der Daten durch Dritte grundsätzlich ausgeschlossen sei.
Belgischer Staatsrat und die Vorgaben des EDSA
Dass die Drittlandsübermittlung an AWS unter gewissen Umständen – trotz ehemals fehlendem Angemessenheitsbeschlusses – zulässig sein könne, stellte auch der Belgische Staatsrat in seinem Urteil 2021 fest. Mit dem Schrems-II-Urteil sei eine Datenübermittlung in die USA nicht per se verboten. Vielmehr müssen Verantwortliche bei der Entscheidung für einen US-Anbieter genaustens im Einzelfall prüfen, ob die Verpflichtungen aus den Standardvertragsklauseln ausreichend seien und welche zusätzlichen Maßnahmen getroffen werden, um ein mit der EU vergleichbares Datenschutzniveau sicherzustellen.
Unter Bezugnahme auf die Empfehlungen des EDSA (PDF) sei die Anwendung von Verschlüsselungsmethoden unter Umständen eine solche „zusätzliche Schutzmaßnahme“, bspw. wenn der Verschlüsselungsschlüssel nicht bei AWS selbst liege.
Eine generelle Unbedenklichkeit von AWS oder anderen US-Anbietern sollte das Urteil für Verantwortliche allerdings nicht bedeuten. Vielmehr blieb es auch hiernach bei einer fundierten Einzelfallprüfung anhand der betroffenen Datenkategorien.
OLG Karlsruhe zum latenten Risiko und vertraglichen Zusagen
Auch das OLG Karlsruhe entschied in seinem Beschluss 2022 zum Thema US-Anbieter und deren Einsatz bei öffentlichen Vergabeverfahren nach Schrems-II.
So hob das Gericht eine Entscheidung der Vergabekammer Baden-Württemberg auf, wonach europäische Tochtergesellschaften von US-amerikanischen Unternehmen grundsätzlich aus öffentlichen Vergabeverfahren ausgeschlossen wurden. Die Vergabekammer stützte ihre ursprüngliche Entscheidung auf ein latentes Risiko eines behördlichen Zugriffs auf die im Auftrag verarbeiteten Daten. Eine Zusicherung der europäisch ansässigen Tochtergesellschaften von US-Anbietern, dass die Daten die Grenzen der EU nicht verließen, genügte der Vergabekammer nicht.
Ganz im Gegensatz zum OLG Karlsruhe, welches die Entscheidung der Vergabekammer aufhob und die vertraglich bindende Zusage von europäischen Tochtergesellschaften grundsätzlich als ausreichend ansah.
Öffentliche Auftraggeber durften auf die Aussage der europäischen Tochtergesellschaft von AWS vertrauen, wonach personenbezogene Daten nicht in die USA übermittelt werden:
„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Ein von der Vergabekammer angenommenes „latentes Risiko“ eines vertragswidrigen Verhaltens sei ohne konkrete Anhaltspunkte nicht ausreichend, Tochtergesellschaften von US-Anbietern generell von öffentlichen Vergabeverfahren auszuschließen.
Angemessenes Schutzniveau: Problem der Vergangenheit?
Die Nutzung der AWS-Cloud war also schon zu Zeiten von Schrems-II nicht per se durch den Datenschutz ausgeschlossen. Durch die einfache Wahl der Serverstandorte oder über den Abschluss des Vertrages mit einer europäischen Tochtergesellschaft von AWS konnten sich Unternehmen zwar nicht einfach so aus der Schlinge der Verantwortlichkeit ziehen. Die datenschutzrechtliche Bewertung der Zulässigkeit richtete sich vielmehr nach den jeweils im Einzelfall betroffenen Datenarten, sowie den hiernach auszuwählenden, zusätzlichen Maßnahmen zum Schutz der Daten. Eine besonders wichtige Zusatzmaßnahme spielt dabei die Verschlüsselung der Daten. Das zeigten auch die behördlichen und gerichtlichen Entscheidungen.
Obwohl der aktuelle Angemessenheitsbeschluss für die USA die zuvor aufgeführten Probleme derzeit auf dem Papier lösen, sollte auf zusätzliche Maßnahmen zur Datensicherheit weiterhin Wert gelegt werden. Die zusätzliche Verschlüsselung bietet AWS weiterhin an. Und in Anbetracht des anhängigen Verfahrens vor dem EuGH und des jederzeit möglichen Widerrufs einer Zertifizierung nach dem Framework könnten die zuvor aufgezeigten Probleme der Vergangenheit schnell wieder zu Problemen in der Zukunft werden.
Ich weiß nicht, warum immer nur an der Drittlandabsicherung rumgeritten wird.
Würde AWS sonst etwas mit den Daten anstellen, das sich nicht ohne Weiteres rechtfertigen lässt? Z. B. eigene Zwecke; unbestimmte „legitime Zwecke“; Produktverbesserungen; über den Kerndienst hinaus gehende Speicherdauer; KI-Training; mit Daten anderer Kunden zusammenbringen; personenbeziehbare Sicherheit; Nutzererlebnis irgendwas; nicht für Werbung, (jedoch… ungenannt); nicht verkaufen, jedoch (ver)teilen;…
D., der bei Auslagerungen auf viel mehr als nur die Drittlandproblematik achtet.