[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

[datensicherheit.de, 16.04.2021] Uniscon hat den dritten Jahrestag des sogenannten CLOUD Act der USA zum Anlass genommen, die rechtlichen Fallstricke für europäische Unternehmen genauer zu beleuchten. Am 23. März 2018 sei mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben worden. Dessen Ziel sei es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um Organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaube es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten, und solle es zudem erleichtern, diese Anfragen durchzusetzen.

Datenschützer äußern immer wieder Kritik am CLOUD Act

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalteten, äußerten Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlasse bis heute einen faden Beigeschmack an diesem Gesetzeswerk.
In Zeiten fortschreitender Digitalisierung könne sich kaum ein Unternehmen dem Gang in die Cloud erwehren. Da sich jedoch die meisten – und größten – Cloud-Provider in den USA befänden, sorgten sich viele in der EU ansässige Firmen um die Daten ihrer Kunden. Denn diese fielen auch dann in den Geltungsbereich des CLOUD Act, wenn sie in der EU lägen oder verarbeitet würden, solange der betreffende Server einem US-amerikanischen Anbieter oder einer Tochtergesellschaft gehöre.

Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?

Dieser Umstand sorge bei vielen Unternehmen für Fragen: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?“ Diese Sorgen kämen nicht von ungefähr – denn mit dem Ende des „EU-US Privacy Shield“ fehle nun jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach möglichen Compliance-Problemen sei somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes sei nicht ganz so einfach und bedürfe einer Betrachtung, wie die US-amerikanischen Provider mit dieser Problematik umgehen.
„Wer nun befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, liegt daneben.“ Die Tech-Giganten nämlich wehrten sich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe von Kundendaten an Strafverfolger zu verhindern. Eine Datenfreigabe erfolge nur, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolge und die Rechtmäßigkeit der Anfrage nachweisen könne. Erst dann könne der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Antwort auf CLOUD Act: Konkurrenzfähige und innovative IT-Industrie in Europa!

Erfreulicherweise sei die grundsätzliche Ablehnung von behördlichen Anfragen in jüngster Vergangenheit recht erfolgreich und lasse europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken: „So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.“
Doch wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernstnehmen, gelte es, die eigenen Strukturen und Märkte zu stärken. Dazu brauche es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese müsse sowohl innovative Start-Ups als auch etablierte Player umfassen, welche der US-Konkurrenz auf Augenhöhe begegnen könnten.

Confidential Computing – ein mächtiges Instrumente im Kampf gegen Industriespionage, Cyber-Kriminalität und Zugriff via CLOUD Act

Vielversprechende Projekte wie „GAIA-X“, welche als Gegengewicht zur US-Konkurrenz dienen solle, machten Hoffnung. Hinzu kämen Anbieter wie etwa die TÜV SÜD-Tochter Uniscon, die nach eigenen Angaben „effektiven Datenschutz in der Cloud mit Hilfe von ,Confidential Computing‘ bzw. ,Sealed Computing‘ umsetzt“. „Confidential Computing“ beschreibt demnach den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolge diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE).
Dies lasse sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. umsetzten – oder, wie im Falle des „Sealed Computing“, auf Server-Ebene. „Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern.“ Damit sei „Confidential Computing“ eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyber-Kriminalität – und schütze auch vor dem Zugriff durch ausländische Behörden.

Am Ende entscheidet der Nutzer: CLOUD Act oder lieber DSGVO?

An Ideen und Konzepten mangele es in Europa wahrlich nicht. „Am Ende jedoch entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen.“ Daher sei es von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.
Dafür gelte es noch viel Überzeugungsarbeit zu verrichten. „Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt; nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und kommunizieren.“

Weitere Informationen zum Thema:

IONOS
Digitale Souveränität für Unternehmen in Zeiten des US CLOUD Act

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Bundesministerioum für Wirtschaft und Energie
GAIA-X Eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem

privacyblog, Eine Initiative von UNiSCON – A member of TÜV SÜD, 21.02.2020
Confidential Computing: Was hat das mit der Sealed Cloud zu tun?

Microsoft, 11.02.2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

LHR RECHTSANWÄLTE, Kevin Heitmeier, 21.07.2020
Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

[datensicherheit.de, 21.08.2019] Mit der DSGVO trat fast zeitgleich der US-amerikanische „CLOUD Act“ in Kraft – von den Auswirkungen dieser beiden konkurrierenden Regelungen sind auch Cloud-nutzende Unternehmen betroffen. Beispielsweise können sich europäische Cloud-Anbieter nicht mehr sicher sein, vom Geltungsbereich des „CLOUD Act“ ausgenommen zu sein. Michael Scheffler, „Area VP EMEA“ bei Bitglass, zeigt in seiner aktuellen Stellungnahme auf, welche rechtlichen Konflikte diese Konstellation außerdem gegenwärtig aufwirft und welche Aspekte Unternehmen langfristig in der Cloud-Security-Strategie berücksichtigen sollten.

Foto: Bitglass

Michael Scheffler: Größere Sorgfalt in der Auswahl ihrer Cloud-Anbieter walten lassen!

In der Praxis können zwei Rechtsauffassungen unvereinbar miteinander in Konflikt geraten

Scheffler: „Nahezu zeitgleich mit der DSGVO ist der US-amerikanische ,CLOUD Act‘ in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt.“ Nicht nur für Cloud-Anbieter, sondern auch für Unternehmen, die Cloud-Anwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen.
„Anliegen des ,Clarifying Lawful Overseas Use of Data‘ (CLOUD) Act ist es, die US-amerikanische Strafverfolgung zu erleichtern, indem der Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen vereinfacht wird.“ Was bislang im Rahmen von Rechtshilfeabkommen zwischen den Regierungsbehörden verschiedener Länder im Laufe mehrerer Monate abgewickelt worden sei, solle nun schneller möglich sein.

Nicht nur Verkehrsdaten sondern auch Inhaltsdaten betroffen

Gemäß „CLOUD Act“ könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google oder Amazon anfordern. Eingeschlossen seien damit auch Daten, „die auf Servern im Ausland gespeichert sind“. Betroffen davon seien nicht nur Verkehrsdaten sondern auch Inhaltsdaten.
Eine richterliche Anordnung benötigten die Ermittler für die Anforderung nicht. Der Cloud-Anbieter wiederum sei nicht dazu verpflichtet, die Betroffenen über die Herausgabe der Daten zu unterrichten. „Dies steht im Widerspruch zu den Bestimmungen der Datenschutzgrundverordnung“, betont Scheffler.

Verhandlungen zwischen EU und USA erst am Anfang

Komme es zu einer Anfrage nach in Europa gespeicherten Datensätzen, könnten Cloud-Anbieter nur eines der beiden Gesetze – „CLOUD Act“ oder DSGVO – einhalten. Zwar mache der „CLOUD Act“ die Einschränkung, „dass die Herausgabe von Daten nur erfolgen soll, sofern dadurch keine nationalen Gesetze gebrochen werden“. Für diese Fälle sollten bilaterale Abkommen geschlossen werden, um die Art des Zugriffs weiter zu regeln. Jedoch befänden sich die entsprechenden Verhandlungen zwischen der Europäischen Union und den Vereinigten Staaten erst am Anfang. Somit herrsche gegenwärtig rechtliche Unsicherheit.
Die Tatsache, dass die großen Anbieter geschlossen den „CLOUD Act“ begrüßt hätten, beunruhige europäische Datenschützer zusätzlich und veranlasse dazu, die aktuellen Auswirkungen auf die DSGVO genauer zu evaluieren. Neben der unmittelbaren Verletzung der durch die DSGVO geschützten Persönlichkeitsrechte bringe der „CLOUD Act“ theoretisch auch Auswirkungen für die Cloud nutzende Unternehmen mit sich.

EU-Unternehmen müssen hiesiges Datenschutzniveau der DSGVO einhalten

Scheffler erläutert: „Verarbeiten Unternehmen personenbezogene Daten in der Cloud, müssen sie sicherstellen, dass dabei das in der Europäischen Union geforderte Datenschutzniveau eingehalten wird. Dementsprechend ist es in europäischen Unternehmen ,best practice‘, sich für einen Cloud-Anbieter mit Rechenzentren in der EU zu entscheiden.“
Nun sei damit allerdings nicht mehr automatisch sichergestellt, den geforderten Standard zu erfüllen. „Warum? Weil der ,CLOUD Act‘ sich nicht auf Firmen mit Hauptsitz in den USA beschränkt“, so Scheffler. Er beziehe sich auf Unternehmen weltweit, „die eine Niederlassung in den USA unterhalten oder dort einer Geschäftstätigkeit nachgehen“.

Gegebenenfalls sind Verträge mit Cloud-Anbietern DSGVO-konform anzupassen

Damit sei der Blick auf den Unternehmenssitz und den Verarbeitungsstandort eines Unternehmens nicht mehr ausreichend, um seiner Sorgfaltspflicht im Rahmen der DSGVO nachzukommen. „Unternehmen, die die Verarbeitung personenbezogener Daten in der Cloud planen, müssten daher eine noch größere Sorgfalt in der Auswahl ihrer Cloud-Anbieter walten lassen und gegebenenfalls ihre Verträge mit ihnen entsprechend anpassen.“
Beispielsweise wäre es denkbar, den Cloud-Anbieter vertraglich zu verpflichten, den Nutzer über eine Expansion in die USA und damit in den Gültigkeitsbereich des „CLOUD Act“ zu informieren.

Nach DSGVO-Lesart ein Verstoß: Auswahl von Cloud-Anwendungen eines US-Anbieters

Vor dem Hintergrund des „CLOUD Act“ sähen Datenschützer außerdem die Nutzung populärer Cloud-Anwendungen mit Sorge, „sofern davon personenbezogene Daten betroffen sind“. Stellten US-Behörden eine Anfrage zu bestimmten Personendaten bei einem großen Cloud-Anbieter, bestehe theoretisch die Gefahr, „dass die mit der betroffenen Person verbundenen, in einem Unternehmen verarbeiteten Daten aus Cloud-Anwendungen herausgegeben werden“. Da ein Zugriff durch US-Behörden auf diese Daten nicht ausgeschlossen werden könne, sei auch hier womöglich das geforderte Datenschutzniveau nicht erfüllt und die Persönlichkeitsrechte nicht ausreichend gewahrt.
Demzufolge begingen Unternehmen nach DSGVO-Lesart einen Verstoß: „Indem sie sich für Cloud-Anwendungen eines US-Anbieters entscheiden, nehmen sie das Risiko eines unberechtigten Zugriffs Dritter in Kauf. Ihrer Verpflichtung zu einer Datenschutz-Folgenabschätzung wären sie dementsprechend nicht ausreichend nachgekommen“, warnt Scheffler.

Zero Trust-Policy für unternehmenseigene Daten empfohlen

Angesichts der laufenden Verhandlungen zwischen der Europäischen Union und den USA erscheine es zwar unwahrscheinlich, dass Cloud-Nutzer gegenwärtig auf Grund der eben erläuterten Szenarien Konsequenzen im Zuge der DSGVO befürchten müssten.
An der zu Grunde liegenden Problematik ändere dies allerdings nichts: „Die DSGVO verlangt von Unternehmen vollständige Kontrolle über die von ihnen erhobenen Daten und zwar über die gesamte Verarbeitungskette hinweg. Der ,CLOUD Act‘, der sich über diese Ebene hinwegsetzt, unterminiert diese Kontrollfunktion.“ Für Unternehmen stehe außerdem die Frage im Raum, inwieweit betriebsinterne Informationen von den Zugriffsrechten des „CLOUD Act“ beeinträchtigt sein könnten. Sollten im Zuge von Ermittlungen auch Unternehmensdaten an die Behörden übergeben werden, wüssten die betroffenen Unternehmen darüber nicht Bescheid. Ebenso wenig hätten sie Kenntnis darüber, „ob, wo und wie lange ihre Daten aufbewahrt werden oder ob noch weiteren Behörden darauf Zugriff ermöglicht wird“.

Unternehmensdaten während Übertragung und Speicherung verschlüsseln

Derartige Szenarien führten vor Augen, dass künftig in der Cybersecurity-Strategie von Unternehmen nicht nur die Sicherheit von Daten, sondern auch die Kontrolle über diese einen hohen Stellenwert einnehme. Eine „Zero Trust“-Policy, deren Maßnahmen auf Datenebene ansetzten, sei daher bei der Nutzung von Cloud-Anwendungen langfristig der richtige Weg, so Scheffler.
Unternehmensdaten müssten sowohl während der Übertragung als auch in den Cloud-Speicherorten zuverlässig gesichert und verschlüsselt werden. Ergänzend dazu sei für ein möglichst hohes Sicherheitsniveau ein angemessenes Schlüsselmanagement ratsam. Alle Keys sollten unternehmensintern gehostet werden. Scheffler rät: „Wer auf Nummer sicher gehen möchte, kann diese außerdem ,on-Premises‘ in einem Hardware-Sicherheitsmodul verwahren. Auf diese Weise erlangen Unternehmen nicht nur Kontrolle über ihre Daten zurück. Sie erfüllen auch die Sicherheitsvorgaben im Sinne der DSGVO: Werden verschlüsselte Daten entwendet, sind sie für Unbefugte wertlos.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen

datensicherheit.de, 22.06.2019
Einfluss der Cloud auf das Thema „Cybersecurity“

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 24.08.2011
NIFIS warnt: US-amerikanische Cloud-Anbieter unterliegen Patriot Act

[datensicherheit.de, 12.07.2019] In seinem Schreiben an den „LIBE“-Ausschuss des Europäischen Parlaments (EP) macht der Europäische Datenschutzausschuss (EDSA) laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) deutlich, „dass für eine rechtmäßige Übermittlung von Daten, die nach dem ,U.S. CLOUD Act‘ ersucht werden, grundsätzlich ein datenschutzkonformes internationales Abkommen erforderlich ist“. Zudem habe der EDSA Leitlinien zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen.

EDSA-Richtungsbestimmung wichtiges Signal zur richtigen Zeit…

Das EP hatte demnach den EDSA um eine datenschutzrechtliche Bewertung der Auswirkungen des „CLOUD Act“ gebeten. In einer ersten Bewertung nehme der EDSA die Position ein, dass – ohne ein neues Abkommen – „eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde auf der Grundlage der DSGVO nur in sehr engen Grenzen möglich ist“.
Jürgen H. Müller, als stellvertretender BfDI in der Sitzung des EDSA Vertreter für Ulrich Kelber, begrüßt diese Positionsbestimmung des EDSA: „Die Richtungsbestimmung des Ausschusses ist ein wichtiges Signal zur richtigen Zeit. Sie betont die Notwendigkeit der justiziellen Zusammenarbeit und setzt einen Anreiz, Rechtskonflikte durch völkerrechtliche Abkommen zu klären, statt die datenschutzrechtliche Verantwortung auf die Privatwirtschaft abzuwälzen.“
Ziel müsse es sein, „solide Rechtsgrundlagen zu schaffen, die sich unseren Datenschutzvorschriften anpassen und nicht unsere Gesetze möglichst weit auszulegen, um entsprechende Datenübermittlungen irgendwie legitimieren zu können“, betont Müller.

Ferner auf Leitlinien zur Videoüberwachung verständigt

Zudem habe sich der EDSA auf Leitlinien zur Videoüberwachung verständigt. Diese behandelten sowohl klassische Themen der Videoüberwachung, wie zum Beispiel die Standortwahl oder die Speicherdauer von Aufnahmen, als auch Fragen zu neuen Themenbereichen wie der biometrischen Videoüberwachung.
So stelle der EDSA beispielsweise klar, dass biometrische Daten, die eine dauerhafte Identifizierung von Personen ermöglichen, zu den besonders schützenswerten Daten zählten und daher nur unter sehr strengen Voraussetzungen verarbeitet werden dürfen. Das Tracking von Personen mittels dauerhafter biometrischer Identifizierung, beispielsweise um das Bewegungs- und Kaufverhalten einer Person in einem Kaufhaus nachzuverfolgen, sei dementsprechend grundsätzlich nur mit expliziter Einwilligung der Betroffenen zulässig.
„Es ist erfreulich, dass es meinen Kolleginnen und Kollegen gelungen ist, das hohe Datenschutzniveau in Deutschland beim Thema Videoüberwachung nun auch auf europäischer Ebene etabliert zu haben“, lobt Müller die neuen Leitlinien.
Ein Dank gehe auch an die Kollegen aus Berlin und Thüringen, welche ebenfalls intensiv am Entwurf den Leitlinien zur Videoüberwachung beteiligt gewesen seien. Diese werden laut Müller „in Kürze vom EDSA veröffentlicht“. Im Rahmen eines öffentlichen Konsultationsverfahrens könnten sie dann von interessierten Personen kommentiert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2019
Einfluss der Cloud auf das Thema „Cybersecurity“

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 24.08.2011
NIFIS warnt: US-amerikanische Cloud-Anbieter unterliegen Patriot Act