Portugiesische Aufsichtsbehörde untersagt Nutzung von "Cloudflare"

Nach Beschwerden von Betroffenen über die Erhebung von Volkszählungsdaten über das Internet führte das CNPD (Comissão Nacional de Proteção de Dados) eine rasche Untersuchung durch, bei der sich herausstellte, dass das Institut ein in den USA ansässiges Unternehmen (Cloudflare Inc.) zur Durchführung der internetbasierten Erhebung eingesetzt hat und dass dadurch eine Übermittlung personenbezogener Daten portugiesischer Staatsangehöriger in die USA stattfand. Im Zuge seiner Untersuchung kam man zu dem Ergebnis, dass die Dateneingabe über das Internetformular und die Übermittlung an die Server verschlüsselt war, Cloudfare aber den Schlüssel zur Entschlüsselung der Daten besaß.

Mit Cloudfare wurde ein Vertrag unterzeichnet, der die von der Europäischen Kommission genehmigten EU-Musterklauseln enthält. Der CNPD stellte jedoch fest, dass nach der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) die Musterklauseln allein nicht ausreichen, um die personenbezogenen Daten zu schützen, und dass zusätzliche Maßnahmen ergriffen werden mussten, um die Daten vor einem möglichen Zugriff auf der Grundlage der US-Gesetzgebung zur nationalen Sicherheitsüberwachung zu schützen. Solche zusätzlichen Maßnahmen wurden nicht ergriffen.

Mit ihrer Anordnung, den Datentransfer auszusetzen, folgte die portugiesische Behörde nach eigenen Angaben den Erwägungen des EuGH, wonach Datenschutzbehörden verpflichtet sind, Datentransfers auszusetzen oder zu verbieten, auch wenn sie auf dem EU-DSGVO basieren, wenn es keine Garantien gibt, dass diese im Drittland eingehalten werden.