Das US-amerikanische Technologieunternehmen Google hat jetzt die von der EU neu überarbeiteten Standardvertragsklauseln übernommen und ermöglicht europäischen Kunden eine rechtssichere Anwendung seiner Dienste. Zusätzlich will man zusammen mit T-Systems Cloud-Lösungen aus deutschen Standorten anbieten.
Um die Rechtmäßigkeit des Transfers personenbezogener Daten in die USA hat es in den letzten Jahren immer wieder juristische Auseinandersetzungen gegeben. Kritiker befürchteten etwa einen massenhaften Zugriff auf Daten von EU-Bürgern durch US-Behörden und konnten vor Gericht bereits die Aufhebung von zwei Abkommen zur transatlantischen Datenübertragung erreichen. So kippte etwa der EuGH nach dem Safe-Harbor-Abkommen auch das danach genutzte Privacy-Shield-Abkommen, da etwa die in den USA mögliche Praxis der Massenüberwachung nicht den in der EU vorgeschriebenen Datenschutzstandards entspricht.
Neue Standardvertragsklauseln verfügbar
Als Rechtsgrundlage für die Übertragung persönlicher Daten konnten weiterhin die sogenannten Standardvertragsklauseln (SVK) verwendet werden, die nach dem letzten Urteil des Europäischen Gerichtshofs jedoch ebenfalls überarbeitet werden mussten. Erst im Juni hatte die EU diese Anpassungen abgeschlossen und die neue Version der Standardvertragsklauseln veröffentlicht.
Diese neuen Standardvertragsklauseln hat Google jetzt übernommen und sie können ab sofort auch genutzt werden, wie ein Unternehmensrepräsentant auf einer vom Branchenverband Bitkom veranstalteten Konferenz kürzlich bekannt gab. Zusätzlich zu den SVK verspricht Google beispielsweise auch, dass Betroffene unverzüglich informiert werden, wenn das Unternehmen nach einem rechtsverbindlichen Antrag einer Behörde personenbezogene Daten herausgegeben hat.
Verschlüsselung soll gestärkt werden
Zugleich versprach der Konzern, dass man sich generell darum bemühen wolle, den Datenschutz weiter zu stärken und dazu Technologien weiterentwickeln werde. So plane man etwa, noch intensiver als bislang auf eine sichere Verschlüsselung zu setzen, sodass Daten mittelfristig ausschließlich durch die Kunden lesbar seien, nicht aber mehr von Google selbst.
Souveräne Cloud mit Telekom-Tochter geplant
Zusammen mit der Telekom-Tochter T-Systems will Google auch noch auf einem anderen Bereich aktiv werden, um die Rechtssicherheit bei der Nutzung von Google-Diensten zu erhöhen: Geplant ist der Aufbau einer „souveränen Cloud“ für Deutschland, bei der T-Systems die komplette Kontrolle über Server innerhalb der Google-Rechenzentren in Deutschland bekommen soll. Damit könnte dann sichergestellt werden, dass die Daten nicht nur im EU-Raum verbleiben, sondern auch vor einem Zugriff durch US-Behörden geschützt sind und somit die Einhaltung europäischer Datenschutzstandards gewährleistet ist.
Das neue Angebot soll bereits ab Mitte nächsten Jahres verfügbar sein, es richtet sich explizit an deutsche Unternehmen und Behörden, die hierüber Google-Cloud-Dienste wie beispielsweise Gmail, Google Docs oder das Videokonferenzsystem Meet verwenden können, ohne dabei befürchten zu müssen, gegen Datenschutzvorgaben zu verstoßen.
Google statt Microsoft
Ein ähnliches Angebot hatte die Telekom zuvor schon mit Microsoft auf die Beine gestellt. Allerdings war der unter der Bezeichnung Microsoft Cloud Deutschland angebotene Dienst nur auf ein eher geringes Interesse gestoßen und hatte sich nicht durchsetzen können, was man im Nachhinein mit einem recht hohen Preis sowie einer eher eingeschränkten Funktionalität erklärte.
Das neue Angebot soll dagegen uneingeschränkt alle Möglichkeiten bieten, die auch im globalen Google-Angebot genutzt werden können und auch der Preis soll wettbewerbsfähig ausfallen. Um auch deutsche Behörden als Kunden gewinnen zu können, arbeite man bereits daran, die Forderungen des Bundesamts für Sicherheit in der Informationstechnik zu erfüllen und befinde sich bereits in Gesprächen mit der Bundesregierung. Damit bekäme Microsoft auch in diesem Bereich einen neuen Konkurrenten: Der Redmonder Konzern verhandelt schon seit längerem mit der Bunderegierung über ein spezielles Behördenprojekt, bei dem die Rechenzentren von einer eigens gegründeten Gesellschaft in Deutschland aufgebaut und betrieben werden sollen, um problematische Datentransfers in die USA zu vermeiden.
Weitere News zum Thema:
Datenschutzbehörde problematisiert Transfer personenbezogener Daten in die USA
EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten
Großbritannien will Datenschutz reformieren und sich von DSGVO lösen
Was gerne übersehen wird: Auch die neuen EU-Standardvertragsklauseln an sich legitimieren keine Drittland-Übermittlung. Vielmehr fordert die zentral wichtige Klausel 14 explizit, dass geeignete Garantien nachgewiesen werden müssen.
Wenn man diess ignoriert, dann setzt sich der Denkfehler hinsichtlich der alten EU-Standardvertragsklauseln fort. Genau diesen hat der EuGH bemängelt.
Wer diesen Sachverhalt ignoriert, der hat diesen ganz offensichtlichen Schwerpunkt des EuGH-Urteils aus Juli 2020 nicht verstanden.
Ich habe mir sämtliche Pressemeldungen und Infotexte von Google durchgelesen. Nirgendwo finde ich Garantien oder eine Erwähnung der Klausel 14. Insofern sehe ich nicht, wo die neuen Verträge einen rechtlichen Vorteil bringen könnten.
Die EU-Standardvertragsklauseln finden sich übrigens in praxisgerechter Form unter https://datenschutzklauseln.eu/.