Illustration: Absmeier, Kai Brame

Spezialisten für Datenschutz begrüßen ausdrücklich die Entscheidung des Europäischen Gerichtshofs in Bezug auf den EU-US Privacy Shield, die den Transfer jedweder persönlicher Daten in amerikanische Public-Cloud-Dienste wie Microsoft OneDrive, Google Drive, Dropbox oder Box.com für unrechtmäßig erklärt. Mit dem Urteil rücken europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Lösungen wie von ownCloud weiter in den Vordergrund.

Das EuGH-Urteil vom 16. Juli 2020 beinhaltet eine klare Anweisung an alle Unternehmen, Behörden und Organisationen: Der sogenannte EU-US Privacy Shield darf ab sofort nicht mehr angewendet werden, um den Transfer persönlicher Daten in die USA zu begründen. Die Standard-Vertragsklauseln der Europäischen Union können als Grundlage genutzt werden, dabei muss aber jeweils überprüft werden, ob das hohe Datenschutzniveau der EU eingehalten wird. Diese Prüfung obliegt dem jeweiligen Unternehmen, das die Datenhoheit ausübt. In der Praxis wird diese Prüfung aber entweder nicht möglich sein oder aber sie wird spätestens an der Gesetzeslage in den USA scheitern. Solange ein Zugriff über den US Cloud Act nicht ausgeschlossen werden kann, betrifft das Urteil auch alle Cloud-Dienste von US-amerikanischen Muttergesellschaften – unabhängig davon, ob sich das Rechenzentrum in Deutschland oder einem anderen Land befindet.

Tobias Gerlinger, CEO bei ownCloud (Quelle: ownCloud)

Dazu Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg:

»Das heutige EuGH-Urteil stellt ein großes Problem für die amerikanischen Cloudspeicher-Dienste wie Microsoft OneDrive, Google Drive oder Dropbox dar. Es bedeutet im Endeffekt, dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstößt und somit empfindliche Strafen drohen. Damit wird die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden vom heutigen Tag an stark eingeschränkt.

Mit dem Urteil des Europäischen Gerichtshofs ist es nun auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ›EU-US-Privacy-Shield-Abkommen‹ nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht. Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.

Der heutige Tag ist ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist.«

EuGH-Urteil gegen Privacy Shield: mehr digitale Souveränität dringend erforderlich

Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte. VOICE empfiehlt Anwendern dringend die Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln. Von der Bundesregierung fordert VOICE schnelle Abhilfe und vor allem, die digitale Souveränität mit deutlich größerem Nachdruck zu verfolgen.

Innerhalb der EU und für Unternehmen, die in der Gemeinschaft Geschäfte machen wollen, ist die General Data Protection Regulation (GDPR) ein scharfes Schwert. Sie schützt die personenbezogenen Daten ihrer Bürger wie kein zweites Datenschutzgesetz der Welt. Unter anderem verbietet es die Übermittlung solcher Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten. Wenn dieses Niveau durch die Gesetze des Drittlandes nicht gegeben ist, kann die EU einen sogenannten Angemessenheitsbeschluss fassen, der feststellt, dass das Schutzniveau ausreichend ist, wenn bestimmte Regeln zusätzlich vereinbart werden. Der 2016 vereinbarte EU-US Privacy Shield stellt eine solche bilaterale Absprache dar. In ihr geben die USA die Zusage, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Wohlgemerkt, die USA sagen die Einhaltung der Regeln zu, aber es handelt sich bei Privacy Shield nicht um einen verbindlichen Vertrag. Die US-Unternehmen, die sich dem Privacy Shield unterwerfen, unterzeichnen eine Selbstverpflichtung, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht wird. Zurzeit haben rund 4000 US-Unternehmen die Selbstverpflichtung unterzeichnet. An sie dürfen personenbezogene Daten von EU-Bürgern übermittelt werden.

Cloud Act und Patriot Act konterkarieren Privacy Shield teilweise

Obwohl die Zusagen der Amerikaner in Privacy Shield zum Teil vom Cloud Act (2018) und vom Patriot Act (2001) konterkariert werden, dient er als wesentliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA. Vom Privacy Shield betroffen sind im Prinzip fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln.

Datenübermittlung in die USA wird illegal

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen zwischen den USA und der EU für unrechtmäßig erklärt. Alternativen für einen rechtmäßigen Datentransfer in die USA gibt es kaum. Damit wird ein Großteil der Übermittlungen personenbezogener Daten in die USA künftig illegal.

Ähnliches droht den sogenannten Standardvertragsklauseln, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield – das Safe-Harbour-Abkommen vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehlt der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage. Auf deutsch: Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.

Unrechtmäßigkeit stellt Anwenderunternehmen vor erhebliche Herausforderungen

Die durch den EuGH festgestellte Unrechtmäßigkeit von Privacy Shield stellt sehr viele Anwenderunternehmen und VOICE-Mitglieder, die in den letzten Jahren erhebliche Summen in die Compliance zur DSGVO/GDPR investiert haben, erneut vor erhebliche Herausforderungen. Wie sollen sie die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten, beziehungsweise sich vor einem Abfluss von Daten in die USA schützen?

In Anbetracht der unverlässlich gewordenen Beziehungen zwischen den USA und der EU ist zu befürchten, dass es sehr schwierig wird, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspricht.

Deutschen und europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, empfiehlt VOICE daher:

zu überprüfen, ob ihr Datenmanagementsystem in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden.
sämtliche Verträge mit US-Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, zu überprüfen. Im Zweifelsfall dürfen dem/den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen Ihres Unternehmens sein.

VOICE fordert schnell ein neues Abkommen und mehr digitale Souveränität

Von der Bundesregierung und der EU-Kommission fordert VOICE ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen.

Gleichzeitig fordert VOICE die Bundesregierung und die EU auf, den jetzt eingeschlagenen Weg zu größerer digitaler Souveränität mit höherem Nachdruck weiterzuverfolgen Insbesondere wünschen wir uns:

den Aufbau einer europäischen Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte eindeutig auf die Einhaltung der GDPR verpflichtet sind;
dass europäische und nationale Behörden und Einrichtungen der öffentlichen Hand in Europa ausschließlich europäische Cloud-Provider nutzen, die die GDPR einhalten
die nachhaltige Förderung insbesondere mittelständischer Software- und Servicehäuser sowie App-Anbietern, damit mittelfristig europäische Alternativen zu den amerikanischen Anbietern entstehen.

Patrick Breyer zum Schrems II-Urteil: Massenüberwachung ächten!

Der Europaabgeordnete Patrick Breyer von der Piratenpartei begrüßt das heutige Urteil des Europäischen Gerichtshofs gegen die Verschiebung persönlicher Daten in die USA:

»Das heutige Urteil ist ein Sieg für den Schutz unserer Privatsphäre und die Vertraulichkeit unserer Kommunikation und Internetnutzung. Die US-Massenüberwachungsprogramme, die Edward Snowden enthüllt hat, sind als unverhältnismäßig weitgehende Eingriffe in unsere Grundrechte verworfen worden, weil betroffene Bürger aus Europa rechtlos gestellt werden. Das bedeutet, dass es ohne unsere Einwilligung keine Weiterleitung unserer Daten in die USA mehr geben darf, auch nicht aufgrund der sogenannten Standardvertragsklauseln, die an der Massenüberwachung nichts ändern. Den Stopp der Datenabflüsse müssen jetzt die Datenschutzbehörden durchsetzen.

Nach dem Ende des untauglichen ‚Privacy Shield‘ darf die EU-Kommission nicht wieder europäische Grundwerte verraten und vor den USA und der Wirtschaftslobby buckeln. Sie ist aufgefordert, endlich ein No-Spy-Abkommen zur Ächtung von Massenüberwachung mit den USA einzufordern und dafür zu sorgen, dass Menschen, die sich nichts zu Schulden kommen lassen haben, auch nicht ohne Anlass permanent protokolliert und beobachtet werden. Denn unter ständiger Überwachung gibt es keine freie Gesellschaft mehr.«

Breyer erinnert daran, wie sensibel die von Facebook und anderen Internetkonzernen täglich gesammelten Persönlichkeitsdaten sind:

»Unsere täglichen Online-Aktivitäten gewähren sehr tiefe Einblicke in unsere Persönlichkeit und ermöglichen es uns zu manipulieren. Ganz unabhängig vom Speicherort muss das im digitalen Überwachungskapitalismus übliche Geschäftsmodell der totalen Nutzerüberwachung gestoppt werden. Das geplante Digitale-Dienste-Gesetz der EU bietet die Chance dazu.«

Hintergrund: Der Europäische Gerichtshof hat am 16. Juli 2020 die Verschiebung persönlicher Daten in die USA auf Grundlage der Datenschutzvereinbarung »Privacy Shield« gestoppt. Das Urteil ist die Folge eines Rechtsstreits des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen den Mediariesen Facebook. Das Urteil beinhaltet ebenfalls, dass Nutzerdaten von EU-Bürgern nur dann auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können, wenn die Schutzbestimmungen eingehalten werden können. Da Facebook den Zugriff amerikanischer Geheimdienste nicht wirksam verhindern kann, muss die Datenauslieferung in die USA gestoppt werden.

Die Datenschutzbehörden sind verpflichtet, die Wirksamkeit der Vertragsklauseln zu prüfen und ggf. die Datenweitergabe zu unterbinden.

Bereits 2015 hatte das Gericht das Vorgängerabkommen zur Datenübermittlung in die USA – das sogenannte Safe Harbor-Abkommen – für ungültig erklärt.

Dr. Patrick Breyer

Europaabgeordneter der Piratenpartei

77 Artikel zu „Privacy Shield“

NEWS | BUSINESS | IT-SECURITY | KOMMENTAR | KOMMUNIKATION

Privacy Shield versus DSGVO: Zweierlei Maß beim Datenschutz

28. Dezember 2017

Gerade hat die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratergremium der Europäischen Kommission eine Evaluation des Privacy Shield veröffentlicht [1]. Die Experten sind im Großen und Ganzen zufrieden mit dem Nachfolger des Safe-Harbor-Abkommens, das die Daten von EU-Bürgern in den USA schützen soll. Größter Kritikpunkt ist, dass die geplante Ombudsmann-Stelle noch nicht besetzt wurde. Dieses vorsichtig optimistische Fazit…