Nach dem Grundsatz der „Wahl des mildesten Mittels“ muss die Verarbeitung personenbezogener Daten stets auf das notwendige Minimum beschränkt werden, um Datenschutzrisiken zu minimieren und die Rechte der betroffenen Personen bestmöglich zu schützen. Dies betrifft nicht nur die Art und den Umfang der Verarbeitung der personenbezogenen Daten selber, sondern auch die Auswahl der Technologien und Dienstleister. Besonders relevant wird dieser Grundsatz bei der Entscheidung, wo Unternehmen ihre Daten speichern.
Die Wahl eines Cloud-Anbieters kann sowohl erhebliche Auswirkungen auf die Datensicherheit als auch auf die Einhaltung der Datenschutzbestimmungen haben. Dies gilt insbesondere für Anbieter mit Sitz in den USA, da dort andere gesetzliche Regelungen gelten und Unternehmen potenziell besonderen Zugriffsmöglichkeiten staatlicher Behörden ausgesetzt sind.
Die Datenschutz-Grundverordnung (DS-GVO) bildet die Rechtsgrundlage für den Grundsatz der Wahl des mildesten Mittels bei der Verarbeitung personenbezogener Daten. Besonders relevant ist Artikel 5 DS-GVO, der die grundlegenden Prinzipien der Datenverarbeitung festlegt – darunter die Datenminimierung. Dieser Grundsatz verlangt, dass personenbezogene Daten dem Zweck angemessen, erheblich und auf das notwendige Maß für die Verarbeitung beschränkt sein müssen.
Zusätzlich ist der Grundsatz der Verhältnismäßigkeit von Bedeutung. Er stellt sicher, dass die Verarbeitung personenbezogener Daten stets in einem angemessenen Verhältnis zu den verfolgten Zwecken steht. Dabei sollte immer das mildeste Mittel gewählt werden, um die Rechte der betroffenen Personen zu schützen und gleichzeitig die erforderlichen Ziele zu erreichen.
Die Verhältnismäßigkeitsprüfung ist ein zentraler Bestandteil der Datenschutz-Grundverordnung (DS-GVO) und ergibt sich aus mehreren Artikeln:
Der Grundsatz der Wahl des mildesten Mittels im Datenschutz bedeutet, dass Unternehmen den sichersten und unkompliziertesten Weg wählen sollten. Die Entscheidung für einen europäischen Cloud-Dienst schützt sie vor datenschutzrechtlichen Risiken, regulatorischem Mehraufwand und Unsicherheiten bezüglich des Datenzugriffs durch Drittstaaten.
- Artikel 5 Abs. (1) lit. b) DS-GVO
Regelt die Zweckbindung und stellt sicher, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. - Artikel 5 Abs. (1) lit. c) DS-GVO
regelt die Datenminimierung, die besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein müssen. - Artikel 6 Abs. (1) lit. f) DS-GVO
betrifft die Interessenabwägung. Dabei wird geprüft, ob die berechtigten Interessen des Verantwortlichen gegenüber den Rechten und Freiheiten der betroffenen Person überwiegen.
Warum ist die Speicherung in den USA nicht notwendig?
Eine Datenübermittlung in die USA ist für die meisten Unternehmen kein zwingendes Erfordernis. In fast allen Fällen gibt es gleichwertige oder sogar bessere Alternativen in Europa, die den Datenschutz gemäß DS-GVO sicherstellen. Europäische Cloud-Anbieter bieten vergleichbare technische Funktionen, ohne dass Unternehmen zusätzliche Transfer Impact Assessments (TIA) durchführen oder rechtliche Unsicherheiten in Kauf nehmen müssen.Warum ist die Speicherung in den USA nicht das mildeste Mittel?
Die Nutzung eines US-Anbieters bringt unnötige Risiken mit sich:- Eingriff durch US-Behörden
Durch Gesetze wie den Cloud Act oder FISA 702 können US-Behörden ohne Zustimmung des Unternehmens oder betroffener Personen Zugang zu gespeicherten Daten verlangen. - Erhöhte Compliance-Anforderungen
Unternehmen müssen umfangreiche Datenschutzprüfungen wie ein Transfer Impact Assessments (TIA) durchführen, um Risiken zu bewerten und Schutzmaßnahmen zu implementieren. - Schwierigkeiten bei der Rechtsdurchsetzung
Europäische Nutzer haben in den USA nur sehr eingeschränkte Möglichkeiten, ihre Datenschutzrechte durchzusetzen.