Seit einem Jahr dürfen personenbezogene Daten von Nutzern aus der EU nicht mehr ohne Weiteres in den USA gespeichert werden. Am 16. Juli 2020 hatte der Europäische Gerichtshof (EuGH) das Datenschutz-Abkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Die Massenüberwachung durch US-Geheimdienste und die verpflichtende Datenweitergabe von US-Unternehmen an sie sei nicht mit dem europäischen Datenschutzniveau vereinbar, entschied das Gericht. Ein Jahr danach weigert sich die Bundesregierung noch immer, bekanntzugeben, welche Bundesbehörden Software benutzen, die nicht mit dem Urteil vereinbar ist.
Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage des Linken-Abgeordneten Viktor Perli hervor. Demnach sind die Behörden selbst verantwortlich, Konsequenzen aus dem EuGH-Beschluss zu ziehen. Verstöße müssen dem Bundesbeauftragten für Datenschutz und Informationsfreiheit Ulrich Kelber gemeldet werden. Ob beides geschieht, prüft die Bundesregierung jedoch nicht, heißt es in der Antwort an Perli.
Statt konkreter Maßnahmen, um den rechtssicheren Einsatz von US-Diensten durch die Bundesregierung sicherzustellen, verweist sie in der Antwort lediglich auf ein Rundschreiben des Bundesdatenschutzbeauftragten Ullrich Kelber aus dem Oktober 2020.
Schrems II-Urteil hat Folgen für Cloud-Anbieter
Ein gerade veröffentliches Gutachten des Wissenschaftlichen Dienstes des Bundestages betont unterdessen den Handlungsbedarf, insbesondere bei der Nutzung von Cloud-Diensten. Befinden sich ihre Server in den USA, dürfen die Daten europäischer Nutzer laut dem EuGH-Beschluss nur sehr eingeschränkt dort gespeichert werden. Das gilt auch für europäische Anbieter, die eine Tochtergesellschaft in den USA betreiben, wie zum Beispiel SAP.
Für Nutzerinnen und Nutzer ist diese Regel besonders relevant, weil einige Software-Anbieter ihre Produkte mittelfristig nur noch über eine Cloud organisieren wollen oder dies schon getan haben. Und die deutsche Bundesregierung verhandelt mit Microsoft über Cloud-Dienste für ihre Verwaltung.
Der Linken-Bundestagsabgeordnete Victor Perli fordert deshalb eine staatliche Cloud:
Die Ausarbeitung des Wissenschaftlichen Dienstes zeigt ganz klar, dass nur eine staatliche Cloud-Lösung das europäische Datenschutzniveau garantieren kann. Sobald Firmen mit US-Geschäft – wie zum Beispiel auch SAP – ins Spiel kommen, haben NSA und Co. auch Zugriff auf unsere Daten. Jetzt rächt sich, dass die EU-Länder bei der Digitalisierung jahrelang geschlafen haben. Microsoft kassiert regelmäßig staatliche Großaufträge in Millionenhöhe, weil es immer noch keine funktionierende europäische Cloud gibt. Die Regierung muss garantieren, dass die Daten der Bürgerinnen und Bürger absolut sicher sind und über Microsoft-Anwendungen in der Verwaltung keine persönlichen Informationen auf US-Server gelangen.“
Ob manchen Bundesbehörden und -Unternehmen bald Konsequenzen drohen, wird sich zeigen. Ulrich Kelber hatte jedenfalls schon im Oktober 2020 in einem Brief an alle betroffenen Institutionen geschrieben, dass er sich gezielte Befragungen vorbehält.
Das Urteil zum „Privacy Shield“ geht auf eine Klage des österreichischen Juristen Max Schrems zurück. Der Beschluss wird auch als Schrems II-Urteil bezeichnet. Der Jurist hatte 2015 auch gegen das Vorgängerabkommen „Safe Harbour“ geklagt und Recht bekommen. Doch zumindest Facebook und Google umgehen das Urteil so weit wie möglich. Die Unternehmen haben sogar zugegeben, weiter Daten in die USA zu übertragen, sie berufen sich auf die sogenannten Standarddatenschutzklauseln. Diese hatte der EuGh zunächst für zulässig erklärt. US-amerikanische Unternehmen dürfen die personenbezogenen Daten verarbeiten, wenn sie den europäischen Datenlieferanten garantieren, dass die Informationen angemessen geschützt sind, also durch vergleichbare Datenschutz-Regeln wie in der EU.
Nur in Ausnahmefällen dürfen Daten in die USA übermittelt werden
Doch selbst wenn es zugesichert wird, ist ein solches Datenschutz-Niveau in den USA nicht umsetzbar: Denn dort sind Unternehmen durch Überwachungsgesetze und aus Gründen der nationalen Sicherheit verpflichtet, persönliche Daten an die Regierung zu übermitteln.
Die europäische Datenschutz-Grundverordnung DSGVO sieht nur wenige Ausnahmefälle vor, in denen personenbezogene Daten aus Europa in die USA transferiert werden dürfen. Das ist zum Beispiel dann erlaubt, wenn die betroffene Person dem vorher ausdrücklich zugestimmt hat oder Verträge erfüllen muss. Auch aus „lebenswichtigen Interessen“ ist die Datenverarbeitung zulässig. Vorher muss aber in der Regel geprüft werden, ob die Daten von den US-Sicherheitsbehörden abgerufen werden können. Denn der EuGH hatte festgestellt, dass allein die Anwendung von Standarddatenschutzklauseln kein angemessenes Schutzniveau garantiert. Die Informationen müssten also zum Beispiel verschlüsselt übertragen werden. Genaue Vorgaben dazu, wie die Daten geschützt werden müssen, hatte der EuGH nicht gemacht.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires