Illustration: Absmeier, Matthew Henry

Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte. VOICE empfiehlt Anwendern dringend die Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln. Von der Bundesregierung fordert VOICE schnelle Abhilfe und vor allem, die digitale Souveränität mit deutlich größerem Nachdruck zu verfolgen.

Innerhalb der EU und für Unternehmen, die in der Gemeinschaft Geschäfte machen wollen, ist die General Data Protection Regulation (GDPR) ein scharfes Schwert. Sie schützt die personenbezogenen Daten ihrer Bürger wie kein zweites Datenschutzgesetz der Welt. Unter anderem verbietet es die Übermittlung solcher Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten. Wenn dieses Niveau durch die Gesetze des Drittlandes nicht gegeben ist, kann die EU einen sogenannten Angemessenheitsbeschluss fassen, der feststellt, dass das Schutzniveau ausreichend ist, wenn bestimmte Regeln zusätzlich vereinbart werden. Der 2016 vereinbarte EU-US Privacy Shield stellt eine solche bilaterale Absprache dar. In ihr geben die USA die Zusage, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Wohlgemerkt, die USA sagen die Einhaltung der Regeln zu, aber es handelt sich bei Privacy Shield nicht um einen verbindlichen Vertrag. Die US-Unternehmen, die sich dem Privacy Shield unterwerfen, unterzeichnen eine Selbstverpflichtung, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht wird. Zurzeit haben rund 4000 US-Unternehmen die Selbstverpflichtung unterzeichnet. An sie dürfen personenbezogene Daten von EU-Bürgern übermittelt werden.

Cloud Act und Patriot Act konterkarieren Privacy Shield teilweise

Obwohl die Zusagen der Amerikaner in Privacy Shield zum Teil vom Cloud Act (2018) und vom Patriot Act (2001) konterkariert werden, dient er als wesentliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA. Vom Privacy Shield betroffen sind im Prinzip fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln.

Datenübermittlung in die USA wird illegal

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen zwischen den USA und der EU für unrechtmäßig erklärt. Alternativen für einen rechtmäßigen Datentransfer in die USA gibt es kaum. Damit wird ein Großteil der Übermittlungen personenbezogener Daten in die USA künftig illegal.

Ähnliches droht den sogenannten Standardvertragsklauseln, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield – das Safe-Harbour-Abkommen vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehlt der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage. Auf deutsch: Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.

Unrechtmäßigkeit stellt Anwenderunternehmen vor erhebliche Herausforderungen

Die durch den EuGH festgestellte Unrechtmäßigkeit von Privacy Shield stellt sehr viele Anwenderunternehmen und VOICE-Mitglieder, die in den letzten Jahren erhebliche Summen in die Compliance zur DSGVO/GDPR investiert haben, erneut vor erhebliche Herausforderungen. Wie sollen sie die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten, beziehungsweise sich vor einem Abfluss von Daten in die USA schützen?

In Anbetracht der unverlässlich gewordenen Beziehungen zwischen den USA und der EU ist zu befürchten, dass es sehr schwierig wird, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspricht.

Deutschen und europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, empfiehlt VOICE daher:

zu überprüfen, ob ihr Datenmanagementsystem in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden.
sämtliche Verträge mit US-Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, zu überprüfen. Im Zweifelsfall dürfen dem/den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen Ihres Unternehmens sein.

VOICE fordert schnell ein neues Abkommen und mehr digitale Souveränität

Von der Bundesregierung und der EU-Kommission fordert VOICE ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen.

Gleichzeitig fordert VOICE die Bundesregierung und die EU auf, den jetzt eingeschlagenen Weg zu größerer digitaler Souveränität mit höherem Nachdruck weiterzuverfolgen Insbesondere wünschen wir uns:

den Aufbau einer europäischen Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte eindeutig auf die Einhaltung der GDPR verpflichtet sind;
dass europäische und nationale Behörden und Einrichtungen der öffentlichen Hand in Europa ausschließlich europäische Cloud-Provider nutzen, die die GDPR einhalten
die nachhaltige Förderung insbesondere mittelständischer Software- und Servicehäuser sowie App-Anbietern, damit mittelfristig europäische Alternativen zu den amerikanischen Anbietern entstehen.

Patrick Breyer zum Schrems II-Urteil: Massenüberwachung ächten!

Der Europaabgeordnete Patrick Breyer von der Piratenpartei begrüßt das heutige Urteil des Europäischen Gerichtshofs gegen die Verschiebung persönlicher Daten in die USA:

»Das heutige Urteil ist ein Sieg für den Schutz unserer Privatsphäre und die Vertraulichkeit unserer Kommunikation und Internetnutzung. Die US-Massenüberwachungsprogramme, die Edward Snowden enthüllt hat, sind als unverhältnismäßig weitgehende Eingriffe in unsere Grundrechte verworfen worden, weil betroffene Bürger aus Europa rechtlos gestellt werden. Das bedeutet, dass es ohne unsere Einwilligung keine Weiterleitung unserer Daten in die USA mehr geben darf, auch nicht aufgrund der sogenannten Standardvertragsklauseln, die an der Massenüberwachung nichts ändern. Den Stopp der Datenabflüsse müssen jetzt die Datenschutzbehörden durchsetzen.

Nach dem Ende des untauglichen ‚Privacy Shield‘ darf die EU-Kommission nicht wieder europäische Grundwerte verraten und vor den USA und der Wirtschaftslobby buckeln. Sie ist aufgefordert, endlich ein No-Spy-Abkommen zur Ächtung von Massenüberwachung mit den USA einzufordern und dafür zu sorgen, dass Menschen, die sich nichts zu Schulden kommen lassen haben, auch nicht ohne Anlass permanent protokolliert und beobachtet werden. Denn unter ständiger Überwachung gibt es keine freie Gesellschaft mehr.«

Breyer erinnert daran, wie sensibel die von Facebook und anderen Internetkonzernen täglich gesammelten Persönlichkeitsdaten sind:

»Unsere täglichen Online-Aktivitäten gewähren sehr tiefe Einblicke in unsere Persönlichkeit und ermöglichen es uns zu manipulieren. Ganz unabhängig vom Speicherort muss das im digitalen Überwachungskapitalismus übliche Geschäftsmodell der totalen Nutzerüberwachung gestoppt werden. Das geplante Digitale-Dienste-Gesetz der EU bietet die Chance dazu.«

Hintergrund: Der Europäische Gerichtshof hat am 16. Juli 2020 die Verschiebung persönlicher Daten in die USA auf Grundlage der Datenschutzvereinbarung »Privacy Shield« gestoppt. Das Urteil ist die Folge eines Rechtsstreits des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen den Mediariesen Facebook. Das Urteil beinhaltet ebenfalls, dass Nutzerdaten von EU-Bürgern nur dann auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können, wenn die Schutzbestimmungen eingehalten werden können. Da Facebook den Zugriff amerikanischer Geheimdienste nicht wirksam verhindern kann, muss die Datenauslieferung in die USA gestoppt werden.

Die Datenschutzbehörden sind verpflichtet, die Wirksamkeit der Vertragsklauseln zu prüfen und ggf. die Datenweitergabe zu unterbinden.

Bereits 2015 hatte das Gericht das Vorgängerabkommen zur Datenübermittlung in die USA – das sogenannte Safe Harbor-Abkommen – für ungültig erklärt.

Dr. Patrick Breyer

Europaabgeordneter der Piratenpartei

1446 Artikel zu „Cloud Act“

NEWS | BUSINESS | IT-SECURITY | KOMMENTAR

Der Cloud Act ist eine ganz reale Gefahr

26. April 2020

US-Anbieter lassen verlauten, der US Cloud Act sei nur eine »hypothetische Möglichkeit«. Wer’s glaubt, wird selig. Ein Kommentar von Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud in Nürnberg Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die…