Zulässigkeit von Amazon Web Services (AWS) trotz Schrems II

Mit dem Urteil des Europäischer Gerichtshof (EuGH) in der Rechtssache C-311/18, dem sog. Schrems II-Urteil hat das Gericht den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt. Die Folge ist, dass eine Übermittlung der Daten in die USA nicht mehr über das EU-U.S. Privacy Shield gerechtfertigt werden kann. Nicht damit gesagt ist, dass eine Datenübermittlung in die USA und damit regelmäßig eine Nutzung US-amerikanischer Anbieter zur Datenverarbeitung per se nicht zu rechtfertigen sei. Auch eine alternativ geeignete Garantie im Sinne von Art. 46 DSGVO, wie die sog. Standardvertragsklauseln, hatte der EuGH in seinem Urteil kritisch bewertet. Dies nicht zuletzt deshalb, weil ein unrechtmäßiger Zugriff durch Sicherheitsbehörden nicht ausgeschlossen werden konnte.

Ist ein Datenexport in die USA noch möglich?

Der EuGH hat in seinem Urteil den Export personenbezogener Daten in die USA nicht vollständig ausgeschlossen, sondern stellte vielmehr fest, dass ein solcher weiterhin möglich und rechtmäßig ist, wenn zusätzliche Maßnahmen zur Datensicherheit ergriffen werden.

Anlässlich der Verarbeitung von Gesundheitsdaten im Zusammenhang mit der Vergabe von COVID-19-Impfterminen, musste die Conseil d’État – die oberste Behörde für verwaltungsrechtliche Rechtsfragen in Frankreich – über die Rechtmäßigkeit der Übermittlung von Gesundheitsdaten in die USA entscheiden. Konkret ging es um die Nutzung von AWS Sarl bzw. Datenübermittlung an AWS Sarl, die zwar nicht unmittelbar in den USA ansässig ist, aber als Tochter von AWS dennoch dem Zugriff von US-Behörden ausgeliefert sein kann. Aus diesem Grund hatten Gewerkschaftsvertreter gegen das Vorgehen der Terminvergabe geklagt und verlangt, keine personenbezogenen Daten an entsprechende Stellen zu übermitteln.

Die Conseil d’État musste daraufhin den konkreten Einzelfall auf die Vereinbarkeit mit der Datenschutzgrundverordnung prüfen und sah sich hierzu die geschlossenen Datenschutzverträge sowie technische und organisatorische Maßnahmen und weitere Garantien im Verhältnis zwischen dem Verantwortlichen und der AWS Sarl als Auftragsverarbeiter an. Das Gericht bewertete also das Risiko der Datenübermittlung für den konkreten Einzelfall.

Ergebnis und Folgen der Entscheidung

Das Gericht kam im vorliegenden Fall zu dem Ergebnis, dass das Schutzniveau angemessen ist und die Übermittlung der Daten rechtmäßig war. Es stützte seine Entscheidung dabei unter anderem auf die Feststellung, dass entgegen der Ansicht der Kläger keine sensiblen Daten verarbeitet werden, eine geeignete Verschlüsslung vorlag und ein gesondertes Verfahren zur Anfechtung von Anträgen der US-Behörden vorgesehen ist.

Allgemeine Bedeutung erlangt diese Entscheidung vor allem deshalb, weil nunmehr feststeht, dass Datenübermittlungen in die USA grundsätzlich weiterhin möglich sind, sofern im Einzelfall ein angemessenes Schutzniveau gewährleistet wird. Darüber hinaus benannte das Gericht Faktoren, die bei der Entscheidung, ob ein entsprechendes Schutzniveau vorliegt, berücksichtigt werden müssen. Insgesamt ist das Urteil der Conseil d’État damit eine entscheidende Beleuchtung der Frage, wie der Datenexport in Länder ohne Angemessenheitsbeschluss nach Art. 45 DSGVO rechtmäßig möglich ist.

Fazit: Durchführung einer Risikoanalyse im konkreten Einzelfall

Die Übermittlung personenbezogener Daten in ein Drittland ohne Angemessenheitsbeschluss stellt auch weiterhin ein riskantes, aber doch nicht unmögliches Unterfangen dar. Wer also auch in Zukunft nicht auf US-amerikanische Anbieter zur Datenverarbeitung verzichten will – oder kann – hat nunmehr die Möglichkeit sich über eine umfassende Risikoanalyse abzusichern. Diese kann in Zusammenarbeit mit den Datenschutzbeauftragten durchgeführt werden und muss sämtliche Faktoren berücksichtigten, die das Risiko einer Verletzung des Datenschutzes beeinflussen. Anders als bei einem Angemessenheitsbeschluss bleibt jedoch das Risiko bestehen, dass diese Einzelfallbewertung von Gerichten nicht geteilt wird. Dennoch ist die Risikoanalyse ein probates Mittel, um Datenübermittlungen zu rechtfertigen und das Risiko eines Datenschutzverstoßes zu minimieren.

Falls Sie auf Anbieter in Drittländer ohne Angemessenheitsbeschluss bei der Datenverarbeitung zurückgreifen oder zurückgreifen wollen, erstellen wir gerne mit Ihnen gemeinsam eine Risikoanalyse, um die Möglichkeiten einer Datenübermittlung zu eruieren. Mehr zum Thema der DSGVO-konformen Datenübertragung in Drittländer finden Sie auch im Beitrag: “Neue Standardvertragsklauseln nach Schrems II“.