Verurteilt Supreme Court US Cloud-Anbieter zum Bruch der DSGVO?
In den nächsten Wochen entscheidet der Supreme Court der USA darüber, ob US-Cloud-Anbieter Daten auch dann an US-Behörden herausgeben müssen, wenn diese ausserhalb der USA liegen. Falls das Gericht so urteilt, stellt das die DSGVO-Compliance von US-Cloud-Anbietern grundsätzlich in Frage.
Das Verfahren zieht sich bereits eine ganze Weile hin. Schon vor fünf Jahren verpflichtete ein New Yorker Bundesbezirksgericht Microsoft dazu, Daten eines Kunden herauszugeben. Microsoft übergab den Teil der Daten, der auf US-Servern lag, weigerte sich aber den Teil herauszugeben, der auf Servern in Irland gespeichert war.
Mittlerweile ist der Streit vor dem höchsten Gericht der USA gelandet und die Karten für Microsoft (und andere US-Cloud-Anbieter) stehen nicht gut. Wenn der Supreme Court im Sinne der US-Regierung entscheidet, wären sie nämlich verpflichtet, das Recht des jeweiligen Gastlandes bzw. der EU (DSGVO) zu brechen.
Noch ist schwer vorherzusagen, was die Konsequenzen wären. Würden sich US-Anbieter aus der EU zurückziehen? Folgen sie den Anweisungen der US-Behörden im Stillen (was vermutlich heute bereits der Fall ist, weil sie das US Recht dazu verpflichtet)? Riskieren sie die drakonischen Strafen der DSGVO?
Auf alle Fälle ist es auch für Cloud-Kunden ratsam, diesen Rechtsstreit bis zum Ende zu verfolgen. Denn mitgefangen heisst mitgehangen: Nicht nur die Cloud-Anbieter als Auftragsverarbeiter, sondern auch deren Auftraggeber können mit 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes gebüsst werden, wenn sie gegen die DSGVO verstossen.