Verarbeitung personenbezogener Daten durch EU-Tochtergesellschaften von US-Anbietern – Kritisch?

Die Schrems II-Entscheidung des EuGH hat die Möglichkeit des Transfers personenbezogener Daten in die USA eingeschränkt. Doch was gilt für Daten in der EU, die unter der Ägide eines US-Anbieters gehostet werden? Unsere Analyse zeigt, dass auch hier Rechtfertigungsbedarf besteht.

Vielen europäischen Verantwortlichen, die personenbezogene Daten von Mitarbeitern, Kunden bzw. deren Ansprechpartnern, Lieferanten bzw. deren Ansprechpartnern oder Dritten verarbeiten, ist nicht klar, wie viel davon tatsächlich unter der „Oberherrschaft“ von US-Unternehmen verarbeitet wird. Solange der Verantwortliche nicht selbst Lösungen insbesondere der drei großen Cloud-Anbieter Google, Amazon und Microsoft nutzt, geschieht dies doch in aller Regel durch Auftragsverarbeiter, denen man Daten zur Verarbeitung überlässt, oder deren Unter-Auftragsverarbeiter. Irgendwo in der Kette taucht unweigerlich zumindest einer der drei Namen wieder auf. Der Hauptsitz dieser Unternehmensgruppen liegt in den USA, auch wenn die eigentlichen Vertragsbeziehungen mit einer irländischen oder luxemburgischen Tochtergesellschaft abgeschlossen worden sein mögen. Ist das unproblematisch?