Privacy Shield 2.0 ohne Nutzen

Der Austausch personenbezogener Daten zwischen der EU und den USA steht seit einem Urteil des Europäischen Gerichtshofs (EuGH) vor zwei Jahren nicht mehr auf einer rechtssicheren Basis. Das als Schrems II bekannt gewordene Urteil manifestiert, dass das Datenschutzniveau in den USA für europäische Belange nicht ausreichend ist.

Die EU bemüht sich seitdem um neue Regelungen, obwohl an den grundlegenden gesetzlichen Fakten in den USA sich nichts verbessert hat. In einem Beitrag für den Branchennewsletter it-business.de beschreibt der renommierte Jurist und Professor für Recht und Sicherheit der Digitalisierung an der TU München, Prof. Dr. Dirk Heckmann, warum er daher erhebliche Zweifel daran hat, dass der Vorstoß der EU-Kommission Bestand vor dem EuGH haben wird.

Wohlgemerkt geht es bei den Bemühungen der EU-Kommissionspräsidentin einzig und allein um personenbezogene Daten, die die EU schützen will. Vertrauliche Unternehmensdaten, die für den wirtschaftlichen Erfolg von Unternehmen und ganzen Volkswirtschaften wichtig sind, erhalten durch diesen Vorstoß noch immer keinen besonderen Schutzstatus.

Die Kernaussagen des Artikels:

• Ein Stein des Anstoßes ist seit langem der Abschnitt 702 des US-Geheimdienstgesetzes „Foreign Intelligence Surveillance Act (FISA). Dieser wurde sogar kürzlich verlängert.
• Dieses Gesetz räumt den US-Sicherheitsbehörden weitreichende Zugriffsbefugnisse auf personenbezogene Daten ein, die von (privaten) Organisationen gespeichert oder übermittelt werden.
• Geheimdienste, wie die NSA, dürfen Kommunikationsdaten von sogenannten „non-US persons“ auswerten, die von US-amerikanischen Unternehmen erhoben wurden – und zwar ohne konkreten Verdacht und ohne entsprechenden Gerichtsbeschluss. Dies steht deutlich im Widerspruch zur EU-DSGVO.
• Eine Klage gegen die Überwachungsmaßnahmen der US-Regierung ist aussichtslos. Dieses Manko hatte der EuGH auch in seiner Begründung des Schrems II-Urteils genannt.
• Ein möglicher Kläger kann die Regierung nicht dazu zwingen, geheime Details über ihre Überwachungsaktivitäten herauszugeben. Das dem zugrunde liegende „Staatsgeheimnisprivileg“ wurde in Bezug auf FISA vom Supreme Court der USA erst kürzlich bestätigt.

Mit Blick auf die Fakten scheinen die aktuell laufenden politischen Bemühungen in dieser Sache als blauäugig. Sollte die EU-Kommission trotz der unveränderten Faktenlage einen sogenannten Angemessenheitsbeschluss erlassen, der bescheinigt, dass das Abkommen dem Datenschutzniveau der Europäischen Union entspricht, wird eine solche Vereinbarung nicht lange Bestand haben. Richter werden die Fehler der Politik erneut zu korrigieren haben.

Prof. Heckmann schreibt dazu in seinem Artikel: „Ich hege erhebliche Zweifel daran, dass das neue Trans-Atlantic Data Privacy Framework und die damit verbundenen Rechtsänderungen in den Vereinigten Staaten ein der Sache nach gleichwertiges Grundrechtsschutzniveau begründen werden. Ein Angemessenheitsbeschluss wird daher zügig vor dem EuGH angegriffen werden. Das letzte Wort hat der EuGH. Schrems III lässt grüßen.“

„Die Leidtragenden sind die europäischen Unternehmen“, heißt es in seinem Beitrag weiter. Aus der Sicht von Uptime IT könnten jedoch viele Unternehmen dem Leid unverzüglich ein Ende setzen. Sie nutzen US-amerikanische Cloud-Unternehmen eher aus Bequemlichkeit, um vermeintlich „fancy Tools“ zu nutzen. Einen unternehmerischen Zweck gibt es häufig nicht, warum die Daten in die USA transferiert werden müssten. Mit einem überschaubaren Mehraufwand in der Entwicklung ließen sich oftmals diese Funktionalitäten selbst erstellen und gleichzeitig die entstandene Anbieterbindungen lösen.

Verlegt ein Unternehmen seine Cloud-Angebote zu einem Anbieter wie Uptime IT, erlangt es seine Datensouveränität zurück, vermeidet die Sicherheitsrisiken von Public Cloud Services und hostet seine Daten DSGVO-konform. Uptime IT berät Sie gerne dazu.