DSGVO und Cloud-Dienste
Bußgeld gegen Meta: Wie unbedenklich ist die Nutzung von Cloud-Diensten?

Das Rekordbußgeld gegen Meta zeigt: Jedes Unternehmen, das Daten in die USA transferiert, steht beim Datenschutz auf wackeligen Beinen. Müssen Cloud-Nutzer jetzt Strafen fürchten?

, von

DSGVO und Cloud Dienste
© MirageC / Moment / Getty images

Jahrelang war die irische Datenschutzkommission DPC untätig, nun schlug sie im Mai 2023 umso härter zu: Gegen die Facebook-Mutter Meta verhängt sie ein Rekordbußgeld von 1,2 Milliarden Euro – weil der US-Konzern Nutzerdaten in die USA weiterleitet.

Meta verstößt so gegen die Europäische Datenschutzgrundverordnung (DSGVO) – ist damit aber nicht allein. Datenschützer werten das Milliarden-Bußgeld bereits als Präzedenzfall, der für alle Unternehmen relevant werden könnte, die Cloud-Dienste großer US-Konzerne wie Google oder Microsoft nutzen. Denn auch die verarbeiten Daten auf Servern in den USA.

Was bedeutet das Urteil also für deutsche Unternehmen? Rechtsanwalt Peter Hense von der Kanzlei Spirit Legal ordnet die Lage ein.

impulse: Herr Hense, ist das Meta-Bußgeld ein Warnschuss für mittelständische Unternehmen?

Peter Hense: Es zeigt zumindest, das jedes Unternehmen die Datensicherheit seiner IT-Infrastruktur ernst nehmen muss. Im Hintergrund steht die Frage: Dürfen Nutzerdaten, die in Europa verarbeitet werden, in den USA gespeichert werden. Dort – und auch in anderen Ländern – gibt es nicht denselben Rechtsschutz der Daten, den wir in Europa gewohnt sind. Sich gegen staatliche oder private Übergriffe zu wehren, ist beispielsweise in den USA fast nicht möglich. Dürfen also Firmen unseren hohen europäischen Standard aushebeln, indem sie aus Kostengründen Datentransfers über andere Länder wie die USA, Mexiko, Indien, China oder Brasilien laufen lassen? Diese Frage hat die EU-Datenschutz-Behörde mit dem Bußgeld gegen Meta klar mit `Nein` beantwortet.

Der Experte
Peter Hense ist Rechtsanwalt in der Kanzlei Spirit Legal. Er berät Unternehmen bei der Umsetzung digitaler Geschäftsmodelle in den Bereichen IT, Datenschutz und Wettbewerb, insbesondere in den Branchen Handel, Reise, Flug und Hotellerie.

Müssen Unternehmen, die Cloud-Dienste großer US-Konzerne wie Google oder Microsoft nutzen, sich jetzt Sorgen machen? Schließlich wandern auch deren Daten standardmäßig in andere Länder.

Ja, denn der Einsatz solcher Dienste ist in Unternehmen nun mal weit verbreitet. Beispiel Google Analytics: Das ist ein Service, der von vielen KMU genutzt wird. Seine Daten transferiert der Dienst aber in rund 40 Länder. Davon sind ein gutes Dutzend solche, für die es aus europäischer Sicht keinen sogenannten `Angemessenheitsbeschluss` gibt. Der legt nach Artikel 45 der DSGVO fest, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bieten muss.

Im Klartext heißt das: nach der aktuellen Gesetzeslage dürfte ich solche Tools gar nicht nutzen – und habe immer eine offene Flanke im Unternehmen. Grundsätzlich können Strafen wegen DSGVO-Verstößen bis zu vier Prozent des weltweiten Jahresumsatzes einer Firma ausmachen.

Viele Unternehmen greifen auf sogenannten Standardvertragsklauseln zurück, wenn Daten in die USA transferiert werden. Welche Auswirkungen hat die Bußgeld-Entscheidung auf diese Lösung?

Die Standardvertragsklauseln sind von der EU-Kommission vorformulierte Vertragswerke, die zwischen dem Datenexporteur und dem Datenimporteur geschlossen werden. Der Daten-Austausch mit US-Standorten soll wieder legitimiert werden, indem in dem Vertragswerk zusätzliche Datenschutzmaßnahmen vereinbart werden.  

Im Grunde sind die Standardvertragsklauseln aber nutzlos, weil bilaterale Verträge nun einmal nicht das Recht eines Staates auf Überwachung aushebeln können. Bloß, weil Firma A in Deutschland mit Firma B in Pennsylvania einen Vertrag schließt, wird die US-Regierung ja in keiner Weise daran gehindert, auf diesen Datenverkehr zuzugreifen. Das Grundproblem der großen Cloud-Dienste bleibt also bestehen.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Wie groß ist denn der Verfolgungswille der Datenschutzbehörden bei dem Thema? Müssen Mittelständler, die entsprechende Programme nutzen mit Strafen rechnen?  

Der Verfolgungswille ist sehr gering. In den Datenschutzbehörden hat sicher niemand Interesse an einem eskalierenden Konflikt mit einem KMU – schon weil der Bestrafte an der Situation ja wenig ändern kann. Der Mittelstand ist gefangen in einem Geflecht großer US-IT-Konzerne, weil es an Alternativen mangelt – und das ist auch den Datenschutzbehörden klar.

Im Rahmen einer Betriebsprüfung müsste der Prüfer sich zwar eigentlich auch anschauen, ob die Cloud-Nutzung den Regeln der DSGVO entspricht. Doch die Wahrscheinlichkeit, dass dabei ein Verstoß entdeckt und geahndet wird, ist in der Praxis gering.

Was kann ein Mittelständler nun tun, um seine Daten zu schützen?

Das einzige, was gegen die US-Überwachung hilft, sind harte IT-Maßnahmen auf der Sicherheitsseite: Also eine Vollverschlüsselung der eigenen Daten, bevor sie in der Cloud abgelegt werden. Dafür gibt es auch Lösungen aus Deutschland. Nur hat die Verschlüsselung auch viele Nachteile, etwa funktionieren Suchfunktionen nicht mehr und Software-as-a-Service-Dienste wie Microsoft Office 365, Salesforce oder Amazon Web Services können Sie natürlich auch nicht mehr nutzen.

Wem seine Daten wichtig sind, der fasst Produkte von Microsoft, Amazon oder Google aber ohnehin nicht an. Der Handwerker von nebenan sollte Kundendaten lieber in einer deutschen Cloud parken – und nicht bei Anbietern, die er nicht kontrollieren kann.

Aber welche Alternativen hat der Mittelständler dann noch?

In eigener Sache
Entdecken Sie Ihre inneren Kraftquellen
Gratis-Webinar
Entdecken Sie Ihre inneren Kraftquellen
Melden Sie sich jetzt kostenlos zum neuen Webinar mit Nikolaus Förster an. Nur für Unternehmerinnen und Unternehmer

Ein Weg raus aus der Cloud-Zwickmühle heißt: Lieber eine eigenen IT-Infrastruktur aufbauen, statt hirnlos fremde Lösungen einzukaufen. Das wahre Problem für den Mittelständler ist aber, dass ihm dafür die IT- und Technikkompetenz fehlt. Unternehmer sollten stärker in eigene IT-Fachkräfte investieren.

Eine andere Möglichkeit: Allianzen bilden. Mittelständler könnten Kompetenz- und Einkaufsgemeinschaften bilden, etwa wenn es um gängige Programme für die Personalverwaltung, ein CRM-System für die Kunden oder Telefonie- und Webservices geht. Beim Schutz gegen Schadsoftware wird das schon probiert.

Wie geht es jetzt eigentlich im Fall Meta weiter?

Die Behördenentscheidung gegen Meta können Sie mit einer Abriss-Entscheidung im Baurecht vergleichen: Das Haus, dass sie gebaut haben, steht leider im Naturschutzgebiet. Hier bauen zwar 20 andere auch ein Haus – aber sie sind nun mal erwischt worden und müssen das Haus abreißen.

Meta muss jetzt eigentlich den Datentransfers in die USA unterbinden. Der Social-Media-Konzern hat aber bereits angekündigt, gegen die Entscheidung Berufung einlegen zu wollen. Auch das wird wieder Jahre dauern. Ich halte es sogar für unwahrscheinlich, dass das Bußgeld je gezahlt wird.

Sie sind impulse-Mitglied und fragen sich, wie Sie die Vorgaben zum Datenschutz am Besten im Unternehmen verankern? Auf jeden Fall sollten Sie ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten erstellen, wenn Sie personenbezogene Daten verarbeiten. Nutzen Sie dafür den Download. 

Jahrelang war die irische Datenschutzkommission DPC untätig, nun schlug sie im Mai 2023 umso härter zu: Gegen die Facebook-Mutter Meta verhängt sie ein Rekordbußgeld von 1,2 Milliarden Euro – weil der US-Konzern Nutzerdaten in die USA weiterleitet. Meta verstößt so gegen die Europäische Datenschutzgrundverordnung (DSGVO) – ist damit aber nicht allein. Datenschützer werten das Milliarden-Bußgeld bereits als Präzedenzfall, der für alle Unternehmen relevant werden könnte, die Cloud-Dienste großer US-Konzerne wie Google oder Microsoft nutzen. Denn auch die verarbeiten Daten auf Servern in den USA. Was bedeutet das Urteil also für deutsche Unternehmen? Rechtsanwalt Peter Hense von der Kanzlei Spirit Legal ordnet die Lage ein. impulse: Herr Hense, ist das Meta-Bußgeld ein Warnschuss für mittelständische Unternehmen? Peter Hense: Es zeigt zumindest, das jedes Unternehmen die Datensicherheit seiner IT-Infrastruktur ernst nehmen muss. Im Hintergrund steht die Frage: Dürfen Nutzerdaten, die in Europa verarbeitet werden, in den USA gespeichert werden. Dort – und auch in anderen Ländern – gibt es nicht denselben Rechtsschutz der Daten, den wir in Europa gewohnt sind. Sich gegen staatliche oder private Übergriffe zu wehren, ist beispielsweise in den USA fast nicht möglich. Dürfen also Firmen unseren hohen europäischen Standard aushebeln, indem sie aus Kostengründen Datentransfers über andere Länder wie die USA, Mexiko, Indien, China oder Brasilien laufen lassen? Diese Frage hat die EU-Datenschutz-Behörde mit dem Bußgeld gegen Meta klar mit `Nein` beantwortet. [zur-person] Müssen Unternehmen, die Cloud-Dienste großer US-Konzerne wie Google oder Microsoft nutzen, sich jetzt Sorgen machen? Schließlich wandern auch deren Daten standardmäßig in andere Länder. Ja, denn der Einsatz solcher Dienste ist in Unternehmen nun mal weit verbreitet. Beispiel Google Analytics: Das ist ein Service, der von vielen KMU genutzt wird. Seine Daten transferiert der Dienst aber in rund 40 Länder. Davon sind ein gutes Dutzend solche, für die es aus europäischer Sicht keinen sogenannten `Angemessenheitsbeschluss` gibt. Der legt nach Artikel 45 der DSGVO fest, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bieten muss. Im Klartext heißt das: nach der aktuellen Gesetzeslage dürfte ich solche Tools gar nicht nutzen – und habe immer eine offene Flanke im Unternehmen. Grundsätzlich können Strafen wegen DSGVO-Verstößen bis zu vier Prozent des weltweiten Jahresumsatzes einer Firma ausmachen. Viele Unternehmen greifen auf sogenannten Standardvertragsklauseln zurück, wenn Daten in die USA transferiert werden. Welche Auswirkungen hat die Bußgeld-Entscheidung auf diese Lösung? Die Standardvertragsklauseln sind von der EU-Kommission vorformulierte Vertragswerke, die zwischen dem Datenexporteur und dem Datenimporteur geschlossen werden. Der Daten-Austausch mit US-Standorten soll wieder legitimiert werden, indem in dem Vertragswerk zusätzliche Datenschutzmaßnahmen vereinbart werden.   Im Grunde sind die Standardvertragsklauseln aber nutzlos, weil bilaterale Verträge nun einmal nicht das Recht eines Staates auf Überwachung aushebeln können. Bloß, weil Firma A in Deutschland mit Firma B in Pennsylvania einen Vertrag schließt, wird die US-Regierung ja in keiner Weise daran gehindert, auf diesen Datenverkehr zuzugreifen. Das Grundproblem der großen Cloud-Dienste bleibt also bestehen. Wie groß ist denn der Verfolgungswille der Datenschutzbehörden bei dem Thema? Müssen Mittelständler, die entsprechende Programme nutzen mit Strafen rechnen?   Der Verfolgungswille ist sehr gering. In den Datenschutzbehörden hat sicher niemand Interesse an einem eskalierenden Konflikt mit einem KMU – schon weil der Bestrafte an der Situation ja wenig ändern kann. Der Mittelstand ist gefangen in einem Geflecht großer US-IT-Konzerne, weil es an Alternativen mangelt – und das ist auch den Datenschutzbehörden klar. Im Rahmen einer Betriebsprüfung müsste der Prüfer sich zwar eigentlich auch anschauen, ob die Cloud-Nutzung den Regeln der DSGVO entspricht. Doch die Wahrscheinlichkeit, dass dabei ein Verstoß entdeckt und geahndet wird, ist in der Praxis gering. Was kann ein Mittelständler nun tun, um seine Daten zu schützen? Das einzige, was gegen die US-Überwachung hilft, sind harte IT-Maßnahmen auf der Sicherheitsseite: Also eine Vollverschlüsselung der eigenen Daten, bevor sie in der Cloud abgelegt werden. Dafür gibt es auch Lösungen aus Deutschland. Nur hat die Verschlüsselung auch viele Nachteile, etwa funktionieren Suchfunktionen nicht mehr und Software-as-a-Service-Dienste wie Microsoft Office 365, Salesforce oder Amazon Web Services können Sie natürlich auch nicht mehr nutzen. Wem seine Daten wichtig sind, der fasst Produkte von Microsoft, Amazon oder Google aber ohnehin nicht an. Der Handwerker von nebenan sollte Kundendaten lieber in einer deutschen Cloud parken – und nicht bei Anbietern, die er nicht kontrollieren kann. [mehr-zum-thema] Aber welche Alternativen hat der Mittelständler dann noch? Ein Weg raus aus der Cloud-Zwickmühle heißt: Lieber eine eigenen IT-Infrastruktur aufbauen, statt hirnlos fremde Lösungen einzukaufen. Das wahre Problem für den Mittelständler ist aber, dass ihm dafür die IT- und Technikkompetenz fehlt. Unternehmer sollten stärker in eigene IT-Fachkräfte investieren. Eine andere Möglichkeit: Allianzen bilden. Mittelständler könnten Kompetenz- und Einkaufsgemeinschaften bilden, etwa wenn es um gängige Programme für die Personalverwaltung, ein CRM-System für die Kunden oder Telefonie- und Webservices geht. Beim Schutz gegen Schadsoftware wird das schon probiert. Wie geht es jetzt eigentlich im Fall Meta weiter? Die Behördenentscheidung gegen Meta können Sie mit einer Abriss-Entscheidung im Baurecht vergleichen: Das Haus, dass sie gebaut haben, steht leider im Naturschutzgebiet. Hier bauen zwar 20 andere auch ein Haus – aber sie sind nun mal erwischt worden und müssen das Haus abreißen. Meta muss jetzt eigentlich den Datentransfers in die USA unterbinden. Der Social-Media-Konzern hat aber bereits angekündigt, gegen die Entscheidung Berufung einlegen zu wollen. Auch das wird wieder Jahre dauern. Ich halte es sogar für unwahrscheinlich, dass das Bußgeld je gezahlt wird. Sie sind impulse-Mitglied und fragen sich, wie Sie die Vorgaben zum Datenschutz am Besten im Unternehmen verankern? Auf jeden Fall sollten Sie ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten erstellen, wenn Sie personenbezogene Daten verarbeiten. Nutzen Sie dafür den Download.