Donnerstag, Juli 02, 2026

Mehrwert für Manager

Ticker

Datenschutz in der US-Cloud

Können Daten europäischer Unternehmen bedenkenlos bei US-Cloud-Anbietern gespeichert werden? Katharina Bisset empfiehlt, die Richtlinien des »European Data Privacy Board« zu beachten. Ein Expertinnenkommentar von Rechtsanwältin Katharina Bisset.

Am Weg in die Cloud kommt man heutzutage schwer an US-Providern vorbei. Spätestens seit der Schrems-II Entscheidung des EuGH Mitte 2020, in der das Privacy Shield aufgehoben wurde, stellte der EuGH auch fest, dass die Standardvertragsklauseln allein nicht ausreichen, wenn im Empfängerland kein angemessenes Datenschutzniveau besteht.

Da sich nunmehr immer mehr europäische Unternehmen die Frage stellen, ob eine Nutzung von US-Cloud-Anbietern überhaupt noch möglich ist, hat das EDPB (European Data Privacy Board) eine Guideline herausgegeben, wie Daten außerhalb des europäischen Wirtschaftsraums – nicht nur in die USA – übermittelt werden können.

1. Kenntnis der Datenverarbeitung: Werden Daten exportiert, muss man die Inhalte und allfällige weitere Empfänger (zum Beispiel Sub-Auftragsverarbeiter) genau kennen. Dies beinhaltet ein vollständiges Verzeichnis der Verarbeitungstätigkeiten, aber auch die Informationspflichten gegenüber den Betroffenen.

2. Rechtsgrundlage für den Export: Sollen Daten in ein Drittland übermittelt werden, muss dies auf einer Rechtsgrundlage (Art 44 ff DSGVO) basieren. Es sollte also beispielsweise überprüft werden, ob es für den Empfängerstaat einen Angemessenheitsbeschluss gibt, das Empfängerunternehmen beispielsweise genehmigten Binding Corporate Rules unterliegt, oder ob Daten auf Basis von Standardvertragsklauseln exportiert werden sollen.

3. Effektivität der Rechtsgrundlage: Nach der Schrems-II Entscheidung wurden beispielsweise vielmals Standardvertragsklauseln abgeschlossen. Diese reichen aber nicht aus, wenn im Empfängerland (wie in den USA) kein angemessener Schutz der Daten gewährleistet werden kann, weshalb die Effektivität der Rechtsgrundlage überprüft werden muss. In dem Fall müssen weitere Maßnahmen getroffen werden.

4. Zusätzliche Maßnahmen: Rein vertragliche Maßnahmen reichen meist nicht aus, da diese nicht vor behördlichen Zugriffen schützen. Maßnahmen sind zum Beispiel die Verschlüsselung der Daten ohne Zugriff des Anbieters oder ein Transfer ausschließlich pseudonymisierter Daten.

5. Implementierung der Maßnahmen: Diese Maßnahmen müssen auch technisch implementiert werden.

6. Prüfung der Maßnahmen: In regelmäßigen Abständen müssen die Maßnahmen überprüft werden.

Schlussendlich muss noch auf die Datenübermittlung im Einzelfall (Art 49 DSGVO) eingegangen werden. Hier muss klargestellt werden, dass diese Rechtsgrundlagen nur im Einzelfall herangezogen werden können. Diese sind zum Beispiel:

- Übermittlung auf Basis einer Einwilligung des Betroffenen inklusive Aufklärung über die Risiken
- Übermittlung zur Vertragserfüllung
- Verteidigung oder Geltendmachung von Rechtsansprüchen

Als Alternative wird nunmehr immer wieder von US-Anbietern angeboten, dass Daten auf EU-Servern von europäischen Tochterunternehmen verarbeitet werden. Hier gibt es aber auch ein Restrisiko. Auf Grund der geltenden rechtlichen Rahmenbedingungen ist es für US-Behörden im Einzelfall auch möglich, auf Daten von Tochterunternehmen mit Sitz in der EU zuzugreifen, selbst dann, wenn sich die Daten auf europäischen Servern befinden.

In der Praxis bedeutet das, dass jedenfalls europäische Alternativen zu US-Anbietern geprüft werden sollten. Werden US-Anbieter gewählt, sollten jedenfalls die technischen und vertraglichen Rahmenbedingungen im Detail geprüft und weitere Maßnahmen getroffen werden.

Illustration: Katharina Bisset

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

10.000 Nagarrians, 10.000 Bäume
Als Unternehmer über den Tellerrand blicken

By accepting you will be accessing a service provided by a third-party external to https://www.report.at/

Firmen | News

Vertiv
02 Juli 2026
Firmen | News
Das neue Werk stärkt die regionale Produktion, die Widerstandsfähigkeit der Lieferkette sowie die Implementierungskapazitäten für Stromversorgungs-, Kühlungs- und integrierte Infrastrukturlösungen Vertiv, ein weltweit führender Anbieter für kritische...
Firmen | News
02 Juli 2026
Firmen | News
Zwei Tage vollgepackt mit Keynotes, Workshops und Networking – das war die techConference 2026 von Microsoft in der Messe Wien. Neben KI und anderen IT-Trends stand dabei das Thema Security besonders im Fokus. Axians steuerte dazu einen Workshop zum ...
Vertiv
30 Juni 2026
Firmen | News
Vertiv, ein weltweit führender Anbieter für kritische digitale Infrastrukturen, bringt in Kooperation mit den Hauptsponsoren rhöncloud und Cadolto Datacenter GmbH, am 9. Juli 2026 führende Branchenvertreter und Akteure des öffentlichen Sektors zur Ve...
LANCOM Systems
29 Juni 2026
Firmen | News
Die beiden Rohde & Schwarz Tochterunternehmen, LANCOM Systems und Rohde & Schwarz Cybersecurity, schließen sich zu einer Tochtergesellschaft mit dem Namen „Rohde & Schwarz Networks and Cybersecurity GmbH" zusammen. Die Fusion ist das Erge...

Neue Blog Beiträge

29 Juni 2026
Intelligente Netze
Europa
Mensch und Gesellschaft
Am 26. Juni 2026 lud epicenter.works zu einem Fireside Chat mit dem US-amerikanischen Experten für Kryptographie und Computersicherheit Bruce Schneier ins traditionsreiche Café Alt Wien. Thomas Lohninger führte durch ein gutes halbe Stunde dichtes Ge...
29 Juni 2026
Mensch und Gesellschaft
Politik
In Washington klingt Krieg oft wie ein Managementfehler. Erst wird gezündelt, dann werden Milliarden nachgeschoben, dann erklärt ein Thinktank, warum das alles leider alternativlos war. Und wenn der Plan nicht aufgeht? Dann besteigt man das nächste S...
29 Juni 2026
Architektur, Bauen & Wohnen
Bild: Claudia Dankl ist Vorstandsmitglied von Beton Dialog Österreich und stellvertretende Geschäftsführerin der Vereinigung der Österreichischen Zementindustrie (Bildquelle: BDÖ derfritz).Wenn ich gefragt werde, warum ich mich so leidenschaftlich fü...