Stellen Sie sich vor, Sie richten sich eine Video-Türklingel ein. Sie können so ein System remote steuern und auch um weitere Kameras im Inneren Ihrer Räumlichkeiten erweitern. Das gibt Ihnen mehr Sicherheit für Ihr Zuhause und Sie können sich sogar scheinbar sinnvolle OnTop-Services buchen, die Ihnen beispielsweise erlauben Aufnahmen zu speichern, Personen zu erkennen und diese Bilder und Sequenzen sogar lokal auf ihren Computer herunterzuladen. Dass die Nutzung und Aktivierung solcher Funktionen selbst auf Privatgrundstücken nach gültigem EU-Recht sehr heikel sind, ist vielen Nutzern häufig nicht bewusst. Und dass an der Stelle auch Privatpersonen, aber vor allem auch Unternehmen, empfindliche Strafen bei der Missachtung der DSGVO drohen, zeigt ein Blick in öffentlich zugängliche Datenbanken zu verhängten Bußgeldern (https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/).

Das US-Unternehmen Ring, das 2018 von Amazon gekauft wurde, ist so ein Anbieter von Smart-Home-Technologie. Und Ring liefert nun den Beweis dafür, dass eine große Skepsis bei Clouddiensten durchaus ihre Berechtigung hat.

In seiner Außendarstellung nimmt es Ring mit dem Datenschutz vermeintlich ernst, wenn man den öffentlichen Darstellungen Glauben schenken will. Auf der Homepage (Stand 27. Juli 2022) heißt es zum Beispiel: „Sie haben immer die Kontrolle darüber, wem Sie Videozugang gewähren.“ (aus dem Englischen, Anm. d. Red.) Und in der FAQ-Sektion heißt es weiter:

„Frage: Gewährt Ring den Strafverfolgungsbehörden direkten Zugang zu den persönlichen Daten eines Nutzers?
Antwort: Nein, Ring bietet den Strafverfolgungsbehörden keinen direkten Zugang oder irgendeine Art von "Hintertür" zu den persönlichen Daten eines Benutzers, einschließlich Videos.“ (aus dem Englischen, Anm. d. Red.)

Dann ist ja alles gut sollte man meinen, denn niemand kann Aufzeichnungen einsehen, es sei denn, Bilder oder Clips werden durch den Benutzer selbst öffentlich gepostet oder direkt aktiv mit der Polizei geteilt. Während also die Unternehmensrichtlinien besagen, dass solche Informationen nicht ohne die Zustimmung eines Benutzers weitergegeben werden können, bestätigt nun ein bekannt gewordenes Schreiben zum ersten Mal, dass das Unternehmen entgegen seiner öffentlichen Darstellung, derartige Informationen aber sehr wohl an Strafverfolgungsbehörden in den USA weitergegeben hat. Und zwar ohne die betroffenen Personen darüber in Kenntnis zu setzten, geschweige denn zuvor deren Erlaubnis eingeholt zu haben. Das Unternehmen hat sich dahingehend geäußert, dass die Anfragen der Behörden wohl den in den USA üblichen „Notfallstandards“ entsprochen haben.

Wer jetzt denkt: „Ja, das ist aber in den USA. Hier in Deutschland gilt das deutsche Recht und die DSGVO! Daran müssen sich auch die US-Konzerne halten!“, der hat zwar recht, aber nach US-amerikanischem Recht (Cloud Act) ist es jederzeit möglich, dass sich US-Behörden am Datenfundus eines Cloud-Anbieter bedienen, selbst dann, wenn diese Daten außerhalb des US-Hoheitsgebiets verwaltet werden. (Mehr dazu in diesem Beitrag: https://deepshore.de/knowledge/2021-11-12)
Von daher ist die rechtliche Grundlage für das Handeln eines US-Konzerns in erster Linie das US-amerikanische Recht und das steht an dieser Stelle nicht im Einklang mit europäischem Recht. Dieser Umstand wurde durch den Europäischen Gerichtshof (EuGH) auch offiziell festgestellt.

Der größte Cloudanbieter, Amazon Web Services – ein Ableger desselben Amazon-Konzerns, zu dem auch Ring gehört – trifft dazu in einem seiner Paper folgende Aussage: „Im Whitepaper (https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF
) der US-Handelsbehörde heißt es dazu, dass sich für viele Unternehmen die Frage des Zugriffs der nationalen Sicherheit auf ihre personenbezogenen Daten kaum stellen dürfte, da diese Daten für die nationalen Sicherheitsbehörden nicht von Interesse wären.“

Der Amazon-Konzern hat sich und die US-Handelsbehörde in diesem Punkt gerade selbst öffentlich widerlegt. Dass es sich hierbei um eine systemische Lücke oder Sollbruchstelle handelt, ist das eigentliche Problem. Insofern ist das Bekanntwerden dieses Umstands alles andere als überraschend, da der rechtliche Rahmen, in dem sich US-Unternehmen bewegen, gar keine Alternative zulässt. Dieser Einzelfall ist jedoch als besonders problematisch einzustufen, weil das Unternehmen entgegen seinen öffentlichen Beteuerungen alles andere als transparent und im Sinne der Kunden handelt bzw. gehandelt hat. Eher scheint das Gegenteil der Fall zu sein. Insofern liegt die Frage nahe, wie sich Amazon bei vergleichbaren DSGVO-Fragestellungen im Rahmen seines AWS-Cloudangebotes in der Realität verhält bzw. verhalten würde. Außerdem ist zu befürchten, dass die Antworten auf diese Fragestellung aufgrund der ebenfalls gültigen rechtlichen US-amerikanischen Rahmenbedingungen bei Google (GCP) und Microsoft (Azure) ähnlich aussehen.