Safe harbor versandet – Privacy Shield löchrig? TiSA, DSGV und Trump sorgen für weitere Unsicherheit.

Das wegweisende Urteil des EUGH vom 6. Oktober 2015 in der Rechtssache C‑362/14 zugunsten des europäischen Datenschutzes im internationalen Datenverkehr und gegen die Eignung von Safe Harbor wirft für die Nutzung von Cloud-Diensten in der Praxis nun einige Fragen auf.

Zunächst stellt sich die Frage der der formalen Zulässigkeit einer fortgesetzten Nutzung von Cloud-Diensten, welche in den USA gehostet werden? Diesem Thema wollen sich die deutschen Datenschützer bereits in dieser Woche annehmen. Zu erwarten ist vermutlich lediglich ein entschlossenes „Sowohl-als-auch“ mit dem der potenzielle Nutzer von amerikanischen Cloud-Diensten letztlich seiner eigenen Einschätzung und Risikofreudigkeit überlassen wird, da eine klare Handlungsempfehlung nicht zu erwarten ist. Aber hier muss man optimistisch bleiben und hoffen, dass die deutschen bzw. europäischen Datenschutzstandards nun konsequent Verhandlungslinie gegenüber den USA (bspw. in den laufenden TTIP-Verhandlungen) werden.

Obwohl sich das Urteil auf die Weitergabe von Daten an den amerikanischen Betreiber Facebook bezieht, ist die Übertragbarkeit auf alle Dienste gleichwohl gegeben. Damit sind zunächst alle Großen der Branchen und deren europäischen Kunden angesprochen. Aber auch die kleineren US-Firmen sind ebenso tangiert. Dies ist bei der Betrachtung der langfristigen Auswirkungen vermutlich sogar das größere Problem, denn größere Firmen können durch die Einrichtung von europäischen Servern und Regularien den gesteigerten Vertrauchlichkeitsbedürfnissen ihrer europäischen Kunden entgegenkommen. Kleinere Firmen, Start-ups und Gelegenheitsexporteure wird mit dem Entfall der Nutzung des Rahmenabkommens „Safe Harbor“ die Expansion auf neue, europäische Märkte stark erschwert werden. Diese Firmen sind – gerade in ihrer Embryonalphase – auf die schnelle und einfache Skalierung ihrer Dienste angewiesen, welche in diesem Stadium sinnvoll nur mit dem Ausbau der Rechenkapazitäten vor Ort darstellbar ist und eben nicht mit der Einrichtung von Diensten in jedem potenziellen, kleinen Überseemarkt. Damit werden europäische Marktteilnehmer graduell von den US-Innovationen abgeschnitten bzw. haben deutlich später regulären Zugang zu diesen.

Vermutlich hat sich Europa damit sogar einen Bärendienst erwiesen, weil es mit dem faktischen Ausschluss von kleinen und mittleren Dienstanbietern noch abhängiger von großen, multinational operierenden Großdiensteanbietern wird. De facto wird sich der Datenaustausch mit den USA auch aus pragmatischen Gründen nicht einstellen lassen. Diese seien nach der EU-Justiz-Kommissarin Vera Jourovà das „Rückgrat unserer Wirtschaft“.

Aber es gibt neben „Safe Harbor“ noch andere Möglichkeiten, mit deren Inanspruchnahme europäische Kunden datenschutzsensible, personenbezogene Daten in die USA übertragen können: Zunächst die verbindlichen Unternehmensregeln (binding corporate rules bzw. BCR), welche von den zuständigen Datenschutzbehörden beschlossen werden. Weiterhin stellt die EU-Kommission quasi Muster-Vertragsbestandteile für den Zweck des Datenschutzes bereit: Standardvertragsklauseln. Diese Verfahren sind jedoch aufwändig und helfen den Marktteilnehmern mit beschränkten Ressourcen nur bedingt weiter, da sie individuell erarbeitet werden müssen.

Zudem haben die im Düsseldorfer Kreis (Datenschutzkonferenz) organisierten Landesdatenschutzbehörden ab Februar 2016 eine Überprüfung der bestehenden Datenschutzregelungen bei den Unternehmen angekündigt.

EU und USA wären also gut beraten, auch zur Unterstützung des prinzipiell förderungswürdigen erleichterten Güteraustausches, die bisherigen Safe Harbor-Vereinbarungen den neuen Gegebenheiten anzupassen und auf eine neue, solide Grundlage zu stellen.

Die Bundesregierung verweist in einer Antwort auf eine kleine Antwort der Fraktion Die LINKE (BT-Drs. 18/7134, PDF) korrekterweise dass für Datenübermittlungen in die USA auch die oben genannten, alternative Rechtsgrundlagen in Betracht kommen.

Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände.

Insbesondere geht sie davon aus, dass die Standardvertragsklauseln und die BCR weiter verwendet werden können.

Auch auf der jährlichen Tagung des Chaos Computer Clubs 32C3 fand das Thema nachhaltiges Gehör. Beispielhaft sei hier der Vortrag von Max Schrems (welcher die Rechtssache gegen Facebook vor dem EuGH angestrengt hat) genannt und nachfolgend zur Verfügung gestellt.

Wie gehts weiter?

Die Zeit seit der Verkündung des Urteils bis Anfang Februar 2016 haben sicher einige Firmen genutzt, um entweder individualrechtliche Vereinbarungen mit ihren Kunden zu treffen oder um ein Regelwerk auf Basis der Standardvertragsklauseln oder Corporate Binding Rules zu schaffen. Ob dies rechtssicher ist bleibt allerdings offen. Deshalb wird seitens der europäischen Wirtschaft erwartet, dass die Europäische Kommission mit den USA zu einer neuen Verständigung oder sogar zu einem „Safe Harbor 2“ kommt. Anfang Februar sah es jedoch nicht danach aus. Eher bittet die Europäische Kommission die Aufsichtsbehörden für den Datenschutz um eine Nichtverfolgung von Verstößen (pro Fall wären dies wohl 300 TEUR).

EU-USA Privacy Shield

Nach dem Scheitern des Safe Harbor-Abkommens hat die EU-Kommission am 2. Februar 2016 ein neues Abkommen mit den USA präsentiert: EU-USA Privacy Shield. Die Einhaltung des neuen Datenschutzabkommens soll wieder das US-Wirtschaftsministerium überwachen, allerdings kann es künftig auch Sanktionen bei Verstößen aussprechen. Dabei können Europäer bei einem Ombudsmann vorstellig werden, welcher allerdings nicht frei agieren kann, sondern dem US-amerikanischen Wirtschaftsministerium angegliedert ist. Die höheren Eskalationsstufen sollen über einen „Austausch von Briefen“ geregelt werden. Vermutlich ist damit das völkerrechtlich übliche Austauschen von Noten gemeint. Damit wäre grundsätzlich eine Verbindlichkeit erreichbar, aber ob dies insbesondere seitens der USA auch so beabsichtigt ist, bleibt fraglich. Dies auch vor dem Hintergrund, dass die Informationsgewinnung im Ausland durch technische Maßnahmen eine gute Tradition in der USA hat und durchaus als etwas Positives und Nützliches angesehen wird. Auch soll die Massenüberwachung europäischen Datenverkehrs durch amerikanische Geheimdienste reguliert werden. Da jedoch unterschiedliche Auffassungen über den Terminus Massenüberwachung bestehen dürften und die Überwachung nicht grundsätzlich ausgeschlossen ist, können europäischen Firmen und Verbraucher nicht davon ausgehen, in den Überwachungsbereich der Sicherheitsdienste zu geraten.

Deshalb sehen Kritiker auch keine inhaltliche Weiterentwicklung und keine Verbesserung zu dem obsoleten Safe Harbor-Abkommen. Vor dem Hintergrund der Entwicklungen drängt sich aber auch die Frage auf, wie ernst die EU-Kommission tatsächlich den Datenschutz nimmt und hat sie vielleicht der ihr in Obhut gestellten europäischen Wirtschaft einen Bärendienst durch ein überhastetes Abkommen ohne echte Verbindlichkeit und Gesetzescharakter erwiesen? Wenn die Befürchtungen zutreffen und die mit den USA künftig ausgetauschten Daten nach wie vor ein ähnliches Schutzniveau wie bislang genießen kann der EU-Kommission ein faktischer Datenschutz nicht am Herzen liegen. Es wäre konsequent, wenn sie dann vergleichbare Regelungen auch in Europa durchsetzt. Dies wäre dann nicht nur eine konsequente Gleichbehandlung, sie würde damit auch die faktische Diskriminierung der europäischen IT-Wirtschaft beenden. Diese besteht dadurch, dass europäische Anbieter ein wesentlich höheres Schutzniveau vorhanden müssen – und dafür investieren müssen – als die vergleichbare amerikanische Konkurrenz.

Ende Februar hat nun die EU Kommission die weitere Detaillierung des EU-USA Privacy Schildes vorgestellt. Diese enthalten tatsächlich Verbesserungen zum bisherigen Safe Harbor, lassen aber gleichzeitig die Befürchtungen der Kritiker (vgl. oben) Gestalt annehmen, weil doch wieder einige schwammige Formulierungen, unklare Kompetenzen der US-Ombudsfrau und insbesondere sechs Ausnahmegründe enthalten sind, bei denen sich die USA weiterhin eine massenhafte Überwachung des Datenverkehrs vorbehalten:

  • um bestimmte Aktivitäten fremder Mächte zu entdecken und ihnen zu begegnen,
  • zur Bekämpfung des Terrorismus,
  • zur Bekämpfung der Verbreitung von Massenvernichtungswaffen,
  • zu Zwecken der Cybersicherheit,
  • um Bedrohungen der US-Streitkräfte oder verbündeter Streitkräfte zu entdecken und ihnen zu begegnen,
  • zur Bekämpfung transnationaler krimineller Bedrohungen, einschließlich der Umgehung von Sanktionen.

Am 12. Juli 2016 hat nun die Europäische Kommission wie erwartet das umstrittene Abkommen beschlossen. Dieses soll nun rasch den EU-Mitgliedern zugestellt und damit rechtskräftig werden. Ab dem 1. August 2016 sollen Unternehmen, die Daten zwischen den beiden Wirtschaftsräumen verschicken wollen, sich in den USA bescheinigen lassen können, dass sie den Anforderungen Folge leisten. Die EU-Kommission will derweil einen Leitfaden für die Bürger formulieren, aus denen ihre neuen Rechte hervorgehen. Kritiker und Datenschützer sehen das Abkommen nach wie skeptisch und vermutlich dürften entsprechende Klagen nicht unwahrscheinlich sein. Trotzdem hat die Artikel-29-Gruppe Ende Juli 2016 das Abkommen – unter Vorbehalt und mit einjähriger Nachprüffrist  – befürwortet.

Europäische Nachfrager von Datendienstleistungen sollten wichtige Daten in die USA wirklich nur dann übertragen, wenn diese gut verschlüsselt sind. Dass dies mittlerweile auch transparent und programmtechnisch operabel in der Cloud erfolgen kann, ermöglicht bspw. das Eperi Gateway und auch der Anbieter Salesforce nimmt Rücksicht auf europäische Befindlichkeiten durch technische und organisatorische Maßnahmen.

Dieser Beitrag wurde in abweichenden Fassungen bereits am 10. Oktober 2015 und am 3. Februar 2016 veröffentlicht und anhand der Entwicklung aktualisiert.

Privacy Shield on Twitter

Datenschutzgrundverordnung, TiSA – neue Gefahren für den Datenschutz

Nach der spannenden Verabschiedung von CETA und dem faktischen Aus von TTIP schickt sich ein weiteres, bislang wenig beachtetes Freihandelsabkommen an, Löcher in den europäischen Datenschutzschirm zu reißen. Die Wirkung von TiSA könnte deutlich über die kritisierten Öffnungsklauseln der Datenschutzgrundverordnung hinausgehen. So sind kürzlich geleakte Dokumente auf ttip-leaks.org zu verstehen. Der Datenschutz soll relativiert werden und der Einfluss von Privaten auf Infrastruktur und Gesetzgebung gestärkt werden. Aber was ist TiSA? 50 Länder, auch die EU-Mitgliedsstaaten, verhandeln seit 2012 an diesem Abkommen, welches die Freizügigkeit von Dienstleistungen zwischen diesen verbessern möchte. Ende 2016 soll alles fertig sein. „Jeder Staat soll Dienstleistungen und deren Anbieter nicht schlechter behandeln als seine eigenen Dienstleistungen und Anbieter“ ist die zentrale Aussage von TiSA. Das könnte bedeuten, dass jeweils die weniger strikte Regulierung als Maßstab herangezogen wird, insbesondere bei öffentlichen Vergaben.

Datenschutz dürften keine Handelshemmnisse oder Anlass zur Diskriminierung sein. Faktisch werden die EU-Datenschutzgrundsätze damit ausgehebelt, da sie zumeist andere Staaten „benachteiligen“. Daten dürften bspw. im Ausland gespeichert werden, trotz anders lautender EU-Regularien. Safe Harbor oder Privacy Shield wären de facto unwirksam. Die Zweckbindung von Daten wird ebenfalls dahingehend relativiert, dass eine Kontrolle der Weitergabe von diesen praktisch nicht durchführbar wäre.

Des Weiteren sieht der Verhandlungstext Relativierungen in den Bereichen Standortvorgaben von Firmen, Netzneutralität, Regulierung von privaten Inhalten (Zensur), Spam, Offenlegung von Software-Code in kritischen Infrastrukturen, Transparenz und weitreichende Aufhebungsklauseln für schwammig definierte nationale Sicherheitsfragen vor. Insgesamt wohl ein Sammelsurium von bereits überwunden geglaubten Verbraucherschutzbedrohungen.

Transatlantischer Datenaustausch seit 2017

Seit der Inauguration von Donald Trump als 45. US-Präsident, ist das fragile Vertrauen in den vertraulichen und seriösen transatlantischen Datenaustausch erschüttert. Ob die zwischenstaatlichen Vereinbarungen des EU-US-Privacy-Shield, welches dafür sorgen soll, dass Daten von EU-Bürgern und Unternehmen in den USA mit einem ähnlichen Schutzniveau behandelt werden wie in der Europäischen Union, noch etwas wert sind, seit der US-Präsident am 25. Januar die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ unterschrieb, sind mehr als fraglich. Eine Formulierung darin gibt zu der Sorge Anlass, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht ausgeschlossen sind. Auch war das Verhalten der neuen Administration davon geprägt, Unsicherheit zu erzeugen und auch den amerikanischen Telekom-Providern Einblick in die Transaktionsdaten inkl. deren Vermarktung zu gestatten. Es wäre aber auch keine besondere Überraschung, wenn die aktuelle US-Administration – im Zuge ihrer protektionistischen Politik – die völkerrechtliche Vereinbarung und die wagen Zusicherung der Vorgängerregierung kündigen würde. Insgesamt also keine stabile Grundlage für die die Auslagerung von sensiblen Kunden- und Mitarbeiterdaten. Die jeweiligen datenrechtlichen Beziehungen zu den USA sollten deshalb kritisch hinterfragt und ggfs. aufgegeben werden.
Auf EU-Ebene wird die geplante Überprüfung des EU-US-Privacy-Shields im Sommer sicher ein wichtiger Prüfstein bei der Ausgestaltung der weiteren transatlantischen Beziehungen. Viel Überlegenschancen werden im derzeit nicht eingeräumt.

Leider sind aber auch in Europa und auch in Deutschland Aufweichungstendenzen des Datenschutzes zu beobachten. Auch seit Anfangr 2017 gilt in Deutschland das neue BND-Gesetz. CSU/CDU und SPD haben mit diesem dem deutschen Auslandsgeheimdienst Lauschbefugnisse erteilt, welche man sonst nur der NSA zugebilligt hat. Daten könne am De-Cix-Knoten direkt abgegriffen werden; obwohl nur für den Auslandsverkehr erlaubt, werden natürlich auch nationale Daten wohl hier abgehört werden.

Königsweg ist und bleibt eine starke Verschlüsselung der eigenen Daten – ohne Speicherung der Schlüssel bei Dritten. Auch der gezielte Einsatz von Treuhänder-Modellen kann individuell empfehlenswert sein.

Erstmalige Veröffentlichung: 25.11.2016

Quellen und weiterführende Links

Safe Harbor

EU-USA Privacy Shield