Gastkommentar zum EuGH-Urteil
Sicherheit ohne Abhängigkeit
Das Aus des "Privacy Shield" macht deutlich: Europäische Daten lassen sich in den USA nicht mit Vereinbarungen vor dem Zugriff Dritter schützen. Europäische Firmen brauchen jetzt eine rechtssichere Grundlage für ihre cloudbasierten Geschäftslösungen, unabhängig von machtpolitischen Interessen.
Der Europäische Gerichtshof hat die Datenschutzvereinbarung aus dem Jahr 2016 zwischen der EU und den USA Ende Juli für ungültig erklärt. Als Begründung nennt das EuGH US-amerikanische Gesetze, die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung „auslän-
discher Kommunikation“ in die Hand geben. Europäische Unternehmen können sich nun nicht mehr länger bei Datentransfers in die USA auf die Angemessenheit des Datenschutzniveaus gemäß Artikel 45 EU-DSGVO berufen.
US-Recht hat Vorrang
Was der europäische Gerichtshof jetzt untermauert hat, wurde von Anfang an von Datenschützern kritisiert: Der „Privacy Shield“ lässt dem US-Recht Vorrang. Der „Clarifying Lawful Overseas Use of Data Act“, besser bekannt als Cloud Act, verpflichtet US-amerikanische Cloud-Provider, den US-Behörden Zugriff auch auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Nachdem im Januar 2017 die Behörden in den USA per Dekret aufgefordert wurden, den Datenschutz für Ausländer vollends aufzuheben, war es nur noch eine Frage der Zeit, bis der „Privacy Shield“ kippt.
Mit dem Ende des „Privacy Shield“ geht das Ringen um den Schutz personenbezogener Daten, die aus der EU in die USA übermittelt werden, in eine neue Runde. Leidtragende sind die europäischen Unternehmen. Sie brauchen schnell eine rechtssichere Lösung. Denn für sie werden cloudbasierte Anwendungen immer wichtiger, um zukunftsfähige Geschäftsmodelle umzusetzen. Hinzu kommt: Die marktführenden Cloud-Plattformanbieter sind überwiegend US-amerikanische Unternehmen, und treiben „Cloud-only“-Lösungen mit Nachdruck voran. Immer mehr Daten aus europäischen Unternehmen liegen längst in Rechenzentren amerikanischer Konzerne – und sind dort nicht sicher vor dem Zugriff Dritter. Seit dem Urteil des europäischen Gerichtshofes herrscht somit für deutsche Unternehmen Rechtsunsicherheit. Denn auch die Nutzung der Standardvertragsklauseln, die den Datentransfer in Drittländer regeln, ist durch das Urteil vom 16. Juli 2020 ins Wanken gekommen. Zwar hat der EuGH an diesen nichts zu beanstanden. Doch werden die Aufsichtsbehörden dazu verpflichtet, die Übermittlung von Daten auszusetzen oder zu verbieten, sofern die vertraglich festgehaltenen Standards in einem Drittland nicht eingehalten werden oder eingehalten werden können.
Rechtssicherheit dringend erforderlich
Für europäische Unternehmen bedeutet dies, dass sie vor einem Datentransfer in jedes Drittland prüfen müssen, ob die Regelungen eingehalten werden. Unternehmen gehen damit ein enormes Risiko ein. Der Bundesverband der Deutschen Industrie schlägt bereits Alarm. Präsident Dieter Kempf fordert: Europäische Unternehmen brauchen dringend Rechtssicherheit im globalen Daten- und Wirtschaftsverkehr.Aber wie kann eine rechtssichere Lösung aussehen?
Der „Privacy Shield“ war bereits der zweite Versuch, eine solche zu schaffen. Auch der Vorgänger, die „Safe-Harbour-Entscheidung“ (Anm. d. Red.: Entscheidung fiel am 6. Oktober 2015) , war gescheitert. Beiden Vereinbarungen ist es nicht gelungen, amerikanische Unternehmen zu verpflichten, die Daten europäischer Bürger und Unternehmen besser zu schützen.
Die Erfahrung zeigt: US-Gesetze lassen sich nicht zugunsten europäischer Datenschutzvorschriften zähmen. Die Abkommen wurden zudem als machtpolitische Spielbälle missbraucht. Es besteht die Gefahr, dass auch eine neue Regelung Sicherheit vortäuscht, ohne sie garantieren zu können. Europäische Unternehmen brauchen stattdessen eine Sicherheit ohne Abhängigkeit. Möglich ist das nur mit einer technischen Lösung. Dazu müssen sensitive Daten von den Arbeitsprozessen und Serviceangeboten außereuropäischer Cloud-Provider abgekoppelt und verschlüsselt werden. Dann lassen sich diese an jedem beliebigen Ort speichern.
Lesen Sie mehr zum Thema
