Am 16.07.2020 kippte der Europäische Gerichtshof den sogenannten EU-US Privacy Shield und sorgte nicht zum ersten Mal für einigen Wirbel auf beiden Seiten des Atlantiks. Durch das Urteil wurden die fundamental unterschiedlichen Perspektiven – und Prioritäten – der EU und den USA zum Thema Datenschutz erneut deutlich. Es schuf große Verunsicherung für viele Unternehmen und stellte sie vor Herausforderungen in ihrem künftigen Umgang mit Daten. Langfristig jedoch bietet dieses Urteil europäischen Unternehmen auch wertvolle Chancen, sich bei datenbasierten Geschäftsmodellen neu zu orientieren und diese auf eine Weise aufzuziehen, welche im Einklang mit dem Schutz personenbezogener Daten ist.
Der Europäische Gerichtshof kippt den EU-US Privacy Shield und bestärkt damit erneut den Schutz und den Wert von personenbezogenen Daten
Das Urteil des EuGH stellte zwar für viele keine Überraschung dar; dennoch war es ein Paukenschlag, der durch die europäischen Unternehmen hallte: Der EU-US Privacy Shield, ein Abkommen über die Regelung des Schutzes von personenbezogenen Daten von EU-Bürgern, die in die USA transferiert wurden, galt ab sofort als ungültig. Wie bereits bei dessen Vorgänger, dem 2015 gekippten Safe-Harbor-Abkommen, sah das Gericht den Schutz übermittelter Daten in den USA nicht auf dem Niveau gegeben, welches gemäß geltendem EU-Recht (Stichwort DSGVO) für den Transfer erforderlich ist. Die Standardvertragsklauseln, auf Grundlage derer momentan viele Unternehmen noch Daten in die USA transferieren, sind zwar weiterhin gültig. Wenn jedoch trotz dieser Klauseln der entsprechende Datenschutz in den Vereinigten Staaten im konkreten Fall tatsächlich nicht gewährleistet wird, ist zweifellos auch die letzte rechtlich gültige Grundlage obsolet. Ob amerikanische Anbieter notwendige oder gar regelmäßige Audits akzeptieren würden, um festzustellen, ob europäische Datenschutzvorschriften eingehalten werden, ist allerdings mehr als fraglich.
Daten haben einen zunehmend hohen Stellenwert und gewinnen – für die unterschiedlichsten Akteure – immer mehr an Bedeutung. Sie sind wertvolle Ressource und gelten „als das neue Gold“, zumal sie in digitaler Form einfach gespeichert, verarbeitet und übertragen werden können. Gleichzeitig aber gibt es weltweit sehr unterschiedliche Ansätze zum Umgang mit Daten und zu deren Verwendung:
- Nutzung zur effektiveren Überwachung und Kontrolle der eigenen Bevölkerung
- Verfolgung eigener geopolitischer Interessen
- Verfolgung wirtschaftlicher Interessen
- starker Fokus auf Datenschutz und den Rechten einzelner
In Zeiten von Cloud Computing und der Vernetzung unterschiedlichster Systeme gibt es bei vielen europäischen Unternehmen Datenströme in die USA, wo die internationalen Marktführer der Branche, die „Big Player“, ansässig sind.
Mit Abstand vorn: US-Anbieter machten auch im Jahr 2020 mit der Public Cloud den meisten Umsatz.
Cryptshare CEO Dominik Lehr teilt im Interview seine Sicht der Dinge als Unternehmer
Wie ist dieses Urteil einzuschätzen, was wurde gestärkt?Dominik Lehr: „Dieses Urteil bestätigt meiner Ansicht nach, wie unterschiedlich zwischen Europa und den USA die Interessenlagen beim Thema Daten wirklich sind. Der Europäische Gerichtshof hat sich klar – und zum wiederholten Male – auf die Seite des Datenschutzes nach europäischem Standard gestellt, aller potenziellen wirtschaftlichen und politischen Konsequenzen zum Trotz. Solange sich die Politik bei den von ihr ausgehandelten Vereinbarungen nicht an diesen hält, werden wohl auch zukünftige Abkommen mit den USA für ungültig erklärt werden, sofern sie nicht belastbar sind und die personenbezogenen Daten europäischer Bürger nach DSGVO-Maßstäben schützen. Dasselbe trifft übrigens auch auf die (immer noch) gültigen Standardvertragsklauseln zu, auf Grundlage derer momentan viele Unternehmen noch Daten in die USA transferieren. Wenn nämlich trotz dieser Klauseln der entsprechende Datenschutz in den Vereinigten Staaten im konkreten Fall nicht gewährleistet wird, bricht auch die letzte rechtlich gültige Grundlage weg, die im Geschäftsalltag praktikabel ist. Und davon ist nach heutigem Stand der Dinge auszugehen.“
Was bedeutet das jetzt für deutsche und europäische Unternehmen?
Dominik Lehr: „Für viele Unternehmen bedeutet das Urteil zunächst einmal große Unsicherheit. Viele ihrer Datenströme laufen über Server in den USA oder sie nehmen Dienstleistungen von Firmen in Anspruch, deren Mutterkonzern in den Vereinigten Staaten sitzt. Das Urteil galt unmittelbar nach Verkündung und europäische Datenschützer haben mehrfach nachdrücklich betont, dass es für die Ahndung von Verstößen keine Gnadenfrist geben wird. Es besteht für Unternehmen in Europa also ein ungeheurer Handlungsdruck, hier aktiv zu werden und eigene Risiken zu mindern oder bestenfalls ganz zu meiden. Es drohen bei Verstoß gegen die europäischen Datenschutzauflagen nämlich empfindliche Strafzahlungen.
Die Gefahr, welche für europäische Unternehmen von einer zu großen Abhängigkeit von US-Anbietern ausgehen kann, wurde meiner Ansicht nach klar aufgezeigt.
Enorme Abhängigkeit bei der Public Cloud: Die drei größten US-Anbieter alleine machen über drei Viertel des Absatzes weltweit aus.
Um es ganz deutlich zu sagen: Auf der gegenwärtigen Basis kann man als hiesiger Unternehmer die US-Anbieter nach den Grundsätzen ordnungsgemässer Geschäftsführung nicht mehr in Anspruch nehmen. In den USA sieht es freilich anders aus. Wie sehr dort die Entwicklung in die entgegengesetzte Richtung geht, lässt sich an Beispielen aus der jüngeren Vergangenheit, wie dem Cloud Act von 2018, eindrucksvoll ableiten. Mit dem Verweis (manche würden es auch etwas zynischer als „Totschlagargument“ bezeichnen) auf die „Bedrohung der nationalen Sicherheit“ werden Datenschutzrechte Betroffener ausgehebelt – auch nachträglich und unabhängig vom eigentlichen Speicherort.“
Was können Unternehmen und Organisationen jetzt konkret tun?
Dominik Lehr: „Essentiell ist es, dass betroffene Unternehmen und Organisationen jetzt aktiv werden. Es ist wichtig, dass betroffene Datentransfers in die USA identifiziert werden und geklärt wird, auf welcher Rechtsgrundlage diese beruhen. Ebenso sollten Unternehmen von ihren Dienstleistern, welche Daten in die USA übersenden, eine Stellungnahme zu dem Urteil einfordern und verlangen, über das weitere Vorgehen umfänglich informiert zu werden. Alleine schon, um die das eigene Risiko zu minimieren muss für die Datenschutzbeauftragten ersichtlich sein, dass man sich dieses Themas umgehend und ernsthaft annimmt. Dies kann durchaus ergeben, dass man sich als Ergebnis dessen nach europäischen Alternativen umsehen oder eigene Projekte aufsetzen muss. Und natürlich müssen den Hinweisen und Anweisungen der zuständigen Aufsichtsbehörden Folge geleistet werden.
Zukunftsgewandte Entscheidungen müssen unter der Prämisse der Rechtssicherheit getroffen werden, wenn sie nachhaltig tragbar sein sollen. Wenn dies nicht geschieht, kann es hier später böse Überraschungen geben.
Nehmen wir zum Beispiel die Public Cloud. Sobald sich Daten in der Cloud befinden, sind sie potenziell auch bei Dritten unterwegs. Warum gab es also diesen Ansturm, möglichst alles in die Cloud zu verlagern?
Bei fast allen befragten deutschen Unternehmen ist Cloud Computing bereits im Einsatz oder geplant.
Bei vielen Unternehmen gab es in den letzten Jahren einen Mangel an Fachkräften, der den Betrieb aller IT-Dienste im eigenen Hause erschwert hat. Hinzu kam oftmals auch die Tatsache, dass vom Management zu kurz gedacht und die Implikationen der Cloud-Technologie nicht ausreichend bedacht wurden: Was passiert da tatsächlich mit den Daten, wo genau werden die eigentlich gespeichert und verarbeitet und was bedeutet das für mein Unternehmen? Ist eine Rückabwicklung zu vertretbaren Kosten überhaupt möglich, falls sich die Entscheidung im Nachhinein als Fehler erweisen sollte? Und dann gab es da natürlich auch viel Marketing der bekannten Beratungshäuser, die einen Wechsel in die Cloud als alternativlos dargestellt haben. Dies zu einer Zeit, in der vor allem die US-Anbieter, bedingt durch ihre Vorreiterrolle tonangebend, in der Ausgestaltung ihres Geschäftsmodells weitestgehend freie Hand hatten. Dass dies nicht in Einklang mit europäischen Datenschutzgesetzen und Werten zu bringen ist, haben wir wiederholt erlebt.
Generell ist für mich jedoch auch ein Lichtblick, dass durch das Urteil des Europäischen Gerichtshofs der Wert von Daten endlich einmal mehr in den Mittelpunkt rückt. Es muss das angemessene Bewusstsein für Daten geschaffen werden, für deren Wert und von wem diese genutzt und verwertet werden dürfen. Nur wenn das in den Köpfen der Unternehmensleitungen fest verankert ist, gehen zukünftige Überlegungen dahin, wieder Kontrolle über die eigenen Daten und somit deren Wertschöpfung zu suchen. Genau diesen Ansatz verfolgen wir übrigens seit unserer Gründung.“
Wie ist Cryptshare aufgestellt? Was müssen unsere Kunden, Partner und Nutzer hier wissen?
Dominik Lehr: „Bei Cryptshare kümmern wir uns um den sicheren und DSGVO-konformen Transfer von Daten von Sender zu Empfänger. Hierbei haben wir von Anfang an einen föderalistischen Ansatz gewählt: Unsere Kunden können selbst bestimmen, wo ihr Cryptshare Server betrieben wird, ganz nach der individuellen IT-Strategie und Rechtslage des Unternehmens. Zudem werden bei uns auch keine Daten dauerhaft gespeichert, verarbeitet oder an Dritte weitergegeben. Vielmehr hat der Kunde als Betreiber der von ihm gewählten Infrastruktur die volle Kontrolle und es entstehen keine weiteren Datenfriedhöfe. So ist es auch problemlos möglich, Migrationen von einem Betriebsmodell auf ein anderes durchzuführen. Der Kunde bestimmt selbst, was für ihn und sein Unternehmen am besten passt und ist Herr über seine Daten und Zugriffe auf diese.“
Safe Harbor Privacy Principles gekippt, EU-US Privacy Shield als ungültig erklärt, SVK gefährdet: Wohin geht die Reise für künftige transatlantische rechtliche Vereinbarungen?
Die Situation ist nach dem Ende des Privacy Shield nicht wirklich neu, dennoch erfordert sie von allen Beteiligten aktives Handeln. Die Politik ist in der Pflicht, mit einem neuen Abkommen zwischen der EU und den USA eine nachhaltige und belastbare Grundlage für den künftigen Datentransfer in die USA zu schaffen. Jegliche Vereinbarung, die getroffen wird, muss letztlich aber auch die Datensicherheit nach EU-Standard erfüllen, um in letzter Instanz auch vor dem Europäischen Gerichtshof zu bestehen. Ob dies so überhaupt möglich sein wird oder gewollt ist, bleibt die große offene Frage. Für die USA stehen andere Prioritäten im Vordergrund, namentlich wirtschaftliche Interessen und weitgehende Zugriffsbefugnisse für die Geheimdienste, gerade auch personenbezogene, unabhängig davon woher diese stammen oder wo sie gespeichert sind. Daher haben sie bislang keine Bereitschaft erkennen lassen, zu Lasten eigener nationaler Interessen irgendwelche Zugeständnisse an den europäischen Datenschutz zu machen. Es scheint fast so, als ob Europa mit seinen gerechtfertigten Ansprüchen an den Datenschutz und die Privatsphäre alleine steht.
Gibt es einen alternativen Ansatz zum Datenschutz für Europa?
Unterm Strich bietet die Herausforderung jedoch auch eine große Chance, vor allem wenn man nicht nur in Quartalen und Legislaturperioden, sondern weiter denkt: Wenn nämlich zukünftig europäische Alternativen zum US-Angebot entwickelt und in Anspruch genommen werden, dies ohne Verflechtungen und Verpflichtungen, wie es bei den US-Anbietern der Fall ist, wäre dies ein gangbarer Weg zur Erlangung einer wünschenswerten europäischen Datensouveränität. Solche Vorhaben existieren bereits, wie für Cloud- und Datennetzwerke z.B. Gaia X.
Nicht länger Zukunftsmusik: Weltweit werden die meisten Daten nicht mehr lokal gespeichert.
Mit DSGVO-konformen europäischen Anbietern hätten Unternehmen dann die wichtige Grundvoraussetzung der Rechtssicherheit, die Grundlage einer soliden wirtschaftlichen Entwicklung ist. Zudem müssten sich die Profiteure in Sachen Datenspeicherung und -verarbeitung dann ebenfalls rechtlich in Europa verankern.
Letztendlich würden die hiermit in Europa erwirtschafteten Erträge auch der europäischen Gesellschaft in Form lokaler Steuereinnahmen zugutekommen. Alles in allem zwar ein ehrgeiziges und langfristiges Unterfangen – doch wann beginnen, wenn nicht jetzt?
Profitables Geschäft für Unternehmen, lukrative Steuereinnahmen für den Staat: Cloud Computing
