Privacy Shield: Zurück auf Los?

blog-post_usa-europaEs war ein großer Schlag für die transatlantische Digitalwirtschaft: Im Oktober 2015 hatte der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen für null und nichtig erklärt. Damit wurde von jetzt auf gleich dem legalen Transfer personenbezogener Daten europäischer Bürger in die USA ein Ende gesetzt.

Der Nachfolger ließ nicht lange auf sich warten. Für EU-Verhältnisse erstaunlich schnell wurde ein neues Datenschutzabkommen präsentiert: das Privacy Shield. Entsprechend harsch fiel schon damals die Kritik von Datenschützern und Bürgerrechtlern aus: die neue Vereinbarung sei nur ein leicht abgewandelter „Abklatsch“ des Vorgängers. Europas Bürgern böte das Abkommen keinen wirksamen Schutz vor dem Ausspähwahn der US-Amerikaner. Es schien nur eine Frage der Zeit zu sein, bis erste Klagen gegen das Privacy Shield folgen würden.

Auch der Österreicher Max Schrems, der das Verfahren ins Rollen gebracht hatte, fand scharfe Worte: „Das ist meilenweit entfernt von dem, was der EuGH verlangt hat“.

Nichtigkeitsklagen gegen Privacy Shield häufen sich

Was sich damals schon angedeutet hatte, ist nun Wirklichkeit geworden. Nachdem der Kommissionsbeschluss zum EU-US Privacy Shield Anfang September im Amtsblatt veröffentlicht wurde, vergingen gerade mal zwei Wochen, bis beim zuständigen Gericht eine erste Nichtigkeitsklage eingereicht wurde. Hinter der Klage steht die irische Bürgerrechtsorganisation Digital Rights Ireland. Laut Medienberichten haben mittlerweile auch drei französische Bürgerrechtsorganisationen Nichtigkeitsklagen vor das Gericht der Europäischen Union (EuG) gebracht, das in erster Instanz zuständig ist.

Die Klagen müssen nun vom EuG geprüft werden. Wie die Entscheidung ausfällt, ist selbst für Experten ungewiss. Gewiss ist hingegen, dass auch mehr als vier Monate nach Inkrafttreten des neuen Abkommens ein fader Beigeschmack für europäische Unternehmen beim Datenschutz und der Datensicherheit bleibt.

Deutsche Datenschützer schauen bei Cloud-Diensten genauer hin

Fakt ist, die Neuauflage des Abkommens zwischen der EU und den USA hat der willkürlichen Massenüberwachung europäischer Bürger durch US-amerikanische Sicherheitsbehörden keinen Riegel vorgeschoben. Es bestehen weiterhin große Zweifel daran, ob die Rechte von EU-Bürgern in den USA tatsächlich effektiv durchgesetzt werden können.

Für deutsche Unternehmen bietet das EU-US Privacy Shield damit immer noch kein rechtssicheres Fundament für die legale Übermittlung personenbezogener Daten in die USA. Zwar haben bereits die Datenschutzbeauftragten in Bayern und Nordrhein-Westfalen die Vereinbarung unter Vorbehalt akzeptiert, so richtig überzeugt ist man von dem Abkommen offenbar aber nicht.

Denn die Datenschutzbeauftragen der Länder nehmen die Speicherung personenbezogener Daten im Ausland derzeit sehr genau unter die Lupe. So soll in zehn Bundesländern in den nächsten Wochen stichprobenartig geprüft werden, welche externen Leistungen und Produkte Unternehmen einsetzen und wo personenbezogene Daten von Mitarbeitern und Kunden gespeichert werden. Ziel der Datenschutzbeauftragten: Unternehmen für den Schutz ihrer Daten zu sensibilisieren.

Europäische Cloud-Dienste als sichere Alternativen

Es scheint, als wäre vielen Unternehmen nicht bewusst, wo und was überhaupt in ausländischen Cloud-Speichern abgelegt wird. Dennoch nimmt der Cloud-Trend auch in Deutschland immer mehr Fahrt auf. Eine riskante Kombination. Denn offenbar vergessen nicht wenige Unternehmen angesichts der großen Attraktivität von Cloud-Diensten, diese vor dem Einsatz auf Datenschutz- und Datensicherheitskriterien zu prüfen. Ganz besonders bei Cloud-Diensten, die ausländischem Recht unterliegen, ist aber genau dies mehr als angebracht.

Was europäischen Unternehmen bleibt, ist eine enorme Verunsicherung und das Risiko, dass die eigenen Unternehmensdaten doch irgendwo mitgelesen werden und personenbezogene Daten ihrer Kundendaten nicht ausreichend geschützt sind. Wer US-amerikanische – oder auch asiatische – Cloud-Dienste nutzt, muss sich dieses Risikos bewusst sein. Oder aber, er setzt auf europäische Anbieter, die in Europa ihre Server betreiben und so den hohen Datenschutzanforderungen der EU unterliegen.

Das EU-US-Privacy Shield zeigt, dass Unternehmen gut daran tun, beim Datenschutz und der Datensicherheit genauer hinzusehen. Auch wenn oberflächlich derzeit alles rechtssicher wirken mag, das Abkommen wurde mit heißer Nadel gestrickt. Wer leichtgläubig darauf vertraut, dass US-Sicherheitsbehörden den Datenschutz von Millionen EU-Bürgern und tausenden europäischen Unternehmen respektieren, der erlebt hoffentlich kein böses Erwachen. Zumal es gut sein kann, dass die europäischen Gerichte auch dem Privacy Shield die rote Karte zeigen.

 

Veröffentlicht in Netzpolitik Getagged mit: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Abonnieren