privacy-shield-goetz-blechschmidt-digital-chiefs
13.08.2020 | Götz Blechschmidt

Schrems 2 – Panic? Don’t panic!

Der EU-Gerichtshof (EuGH) erklärte am 16. Juli 2020 das sogenannte Privacy Shield-Abkommen zwischen den USA und Europa als nichtig. Der als Schrems 2 bekannte Fall besagt, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann. Was bedeutet dieses Urteil nun für uns? Der Datenschutzbeauftragte Götz Blechschmidt erklärt, warum Panik jetzt nicht der richtige Weg ist.

Privacy Shield ist tot. Der EuGH hat das fadenscheinige Deckmäntelchen der „freiwilligen Selbstkontrolle“ durch US-Unternehmen für unzureichend erklärt. Gut so, denn diese „Garantien“ wurden nie unabhängig geprüft. Einer meiner Kollegen aus USA hat das auf den Punkt gebracht: „we got what we invested – nothing“.

Einerseits. Andererseits beschleicht mich ein ungutes Gefühl, wenn ich die Reaktionen der Aufsichtsbehörden lese. Der Europäische Datenschutzausschuss EDPB veröffentlicht in seiner FAQ,

  • dass jegliche Datenübertragung auf Basis Privacy Shield ab sofort illegal sind;
  • dass es keine Übergangsperiode gibt;
  • dass die Anwendbarkeit von Standardvertragsklauseln und verbindlichen internen Datenschutzvorschriften (BCR) im Einzelfall durch die Unternehmen geprüft werden müssen;
  • dass jeglicher Datentransfer einzustellen ist, wenn man zum Schluss kommt, dass das Datenschutzniveau im Empfängerland nicht dem in Europa entspricht.
  • Und dass dies auch für Subauftragnehmer gilt, also beispielsweise bei der Fernwartung einer Software durch einen Anbieter im Drittland.
Schilder, Datenaustausch zwischen USA und EU
Erstmal heißt es Stop. Quelle: Adobe Stock/hkama

Die Berliner Datenschutzbehörde fordert (Originaltext der Pressemitteilung) „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, (…) umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“. Der Bundesbeauftragte für Datenschutz kündigt an, auf schnelle Umsetzung in besonders relevanten Fällen dringen zu wollen.

digital-chiefs-auszug-pressemitteilung-berliner-datenschutzbehoerde
Ein Auszug aus der Pressemitteilung von der Berliner Datenschutzbehörde. Quelle: datenschutz-berlin.de

Schrems 2: Gleicher Datenschutz in allen Ländern

Das Ziel: Die gleichen Datenschutzrechte wie in der EU in den Ländern erreichen, in die man transferiert. Was bedeutet das für jedes Unternehmen? Theoretisch muss sich jetzt jedes Unternehmen, dass Daten über außer-europäische Anbieter verwaltet, speichert oder versendet bei jedem Typ des Transfers überlegen: Ist das Land, in das man transferiert aus Datenschutzsicht sicher? Gibt es weitere Maßnahmen, um meine Daten zu sichern, z.B. einen Zusatzvertrag? Kann ich zu einem europäischen Anbieter wechseln?

Ein extrem hoher Mehraufwand. Max Schrems selbst veröffentlicht Handlungsanweisungen für Unternehmen auf der noyb-Seite und wird dafür gelobt. Allerdings veröffentlicht er auch Mustertexte für Betroffene, um Unternehmen die Übermittlung von Daten in die USA zu untersagen. Öl ins Feuer, und zusätzlicher Aufwand für Verantwortliche.

Warum eigentlich? Das oberste Europäische Gericht hat festgestellt, dass die EU-Kommission ohne ausreichende Prüfung einen Angemessenheitsbeschluss erteilt hat. Dürfen sich Unternehmen in Europa nun etwa nicht mehr darauf verlassen, dass Rechtsprechung einen gewissen Vertrauensschutz bietet? Wenige Tage nach dem Urteil die Keule der Geldbuße zu schwingen und das Schwert der Untersagungsverfügung zu zücken, ist meiner Überzeugung nach völlig unangemessen. Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht das wohl ähnlich. Sein Interview mit der FAZ lässt allerdings fürchten, dass der EuGH keine Diskussion wünscht, sondern Umsetzung „sofort, konsequent, und ohne Rücksicht auf Kollateralschäden“.

Kühler Kopf statt Feuerlöscher

Mein Tipp vorneweg: Gehen Sie das Thema mit kühlem Kopf an. Handeln Sie nicht überstürzt. Schauen Sie sich Ihre transferierenden Daten an: Sind es wirklich sensible Daten wie z.B. Gesundheitsdaten oder Betriebssysteme oder handelt es sich „nur“ um Mail-Adresse, am besten sogar noch Business-Mails? Priorisieren Sie die verschiedenen Datentypen, und kümmern Sie sich erstmal um die wirklich heiklen. Dazu ist noch zu sagen: Bei wirklichen heiklen Daten ist es generell eine Frage, ob diese in z.B. einer Cloud gespeichert werden sollten – die Gefahr einer Spionage ist immer gegenwärtig.

batman-bomb-privacy-shield-blechschmidt-digital-chiefs
Quelle: GIPHY / @boomunderground

Ich denke, dass sich Europa mit dem Urteil tief ins eigene Fleisch schneidet. Wer Office 365 einsetzt, stellt nicht mal eben um. Wer sein Geschäft mit der GSuite unterstützt, findet so schnell keinen europäischen Ersatz. Und auch aktuell durch COVID-19: Die gängigsten Webkonferenzen wie Zoom, Microsoft Teams oder Skype sind auch aus amerikanischer Hand. Denn das ist der Aspekt, der in der Diskussion völlig vernachlässigt wird: die Produkte und Dienste von jenseits des Atlantiks sind weit verbreitet und oftmals einfach weiter.

Verstehen Sie mich nicht falsch, auch in Europa gibt es gute Produkte und Europa tut gut daran, an weiteren adäquaten Produkten und Lösungen zu arbeiten; Wenn es aber um das Thema schnelle Reaktionszeit und hohen Grad an Stabilisierung geht, erzielen die außer-europäischen Anbieter eine bessere Quote, da sie mit ihren Rechenzentren einfach breitflächiger aufgebaut sind. Dabei haben Unternehmen gerne mal den Aspekt vergessen, dass die Pflicht der Offenlegung gegenüber der amerikanischen Strafverfolgung immer besteht. Das Urteil zum Privacy Shield hat es nun wieder vor die Nase gesetzt.

Möglicherweise sind Subventionen und Marktbarrieren nötig, um den technologischen Vorsprung der US-Anbieter auszugleichen. Wer dafür jedoch den Datenschutz nutzt, erweist ihm einen schlechten Dienst. Als Datenschützer bin ich lieber Gestalter als Verhinderer. An den zitierten EuGH-Richter also: Schönen Dank auch.

Schon klar – darum geht es nicht, und es spielt auch keine Rolle in der juristischen Betrachtung. Den Anstoß gaben die Überwachungsgesetze in den USA. Schrems verweist darauf, dass EU-Bürger hierbei nicht die gleichen Rechte genießen wie US-Bürger. Das ist eine berechtigte Kritik. Ich würde nur gerne verstehen, warum die seit Jahren bekannte Kollision zweier Rechtssysteme nicht als politische Aufgabe gehandhabt, sondern auf die Unternehmen verlagert wird.

datenschutz-privacy-shield-digital-chiefs
Quelle: Adobe Stock/geschmacksRaum®

Aber was macht uns eigentlich so sicher, dass Europa hinsichtlich Überwachung ein deutlich besseres Schutzniveau bietet als die USA (ganz zu schweigen von China oder Russland)? Microsoft veröffentlicht einen Bericht zu „Law Enforcement Requests“, also Anfragen zu Kommunikationsdaten oder Inhalten von behördlicher Seite an das Unternehmen. Zur Anfrage von Geheimdiensten wird lediglich eine ungefähre Zahl genannt, ca. 30.000 Stück pro Jahr. Eine gewaltige Menge also. Ungefähr gleich viele kommen von Strafverfolgungsbehörden weltweit. Und siehe da: in Relation zur Einwohnerzahl kommen aus Deutschland tendenziell mehr offizielle Anfragen von Strafverfolgungsbehörden als aus den USA.

Hier sollte man natürlich nicht nur auf die Aussagen von außer-europäischen Ländern setzen. Telekommunikationsunternehmen sind gesetzlich verpflichtet, Sicherheitsbehörden zu unterstützen. Als erstes Unternehmen hat die Telekom bereits 2014 einen Transparenzbericht für Deutschland veröffentlicht. In dem Transparenzbericht aus diesem Jahr legte der Anbieter vor, dass 2013 knapp 50.000 Anschlüsse überwacht wurden – überwiegend auf Anordnung eines Richters oder Staatsanwalts.

Keep calm and carry on

Unternehmen speziell in Deutschland fangen gerade erst an, ihre Prozesse zu digitalisieren, Dazu nutzen sie Office 365, Azure, AWS, Google, etc. Und in Zeiten von Corona sind sie für Teams, Zoom und GoToMeeting dankbar. Sie werden diese Entwicklung weder zurückdrehen können noch wollen.

Diesen Unternehmen gilt meine Empfehlung: Übersicht verschaffen, in welchem Kontext personenbezogene Daten ins Ausland fließen. Fokussieren, wenn es sehr viele oder sehr sensible Daten sind. Wo noch nicht geschehen, Standarddatenschutzklauseln abschließen (Google Analytics z.B.). Nach technischen Lösungen Ausschau halten (Verschlüsselung der ruhenden Daten).

Vor allem aber: Ruhe bewahren. Datenschutz ist wichtig. Unternehmerisches Handeln aber auch. Heißt: Auch US-amerikanische Unternehmen haben ein Interesse, dass das Geschäft bestehen bleibt und tüfteln bestimmt auch schon an Lösungen, die den EU-Richtlinien entsprechen.

digital-chiefs-keep-calm-blechschmidt-privacy-shield
Quelle: GIPHY / @true_and_the_rainbow_kingdom

Quelle Titelbild: Adobe Stock /pixs:sell

Diesen Beitrag teilen:

Weitere Beiträge

Dezentraler statt zentraler Infrastrukturatlas soll mehr KRITIS-Sicherheit bieten

Der Infrastrukturatlas (ISA) der Bundesnetzagentur zieht als zentrales Informations- und Planungsinstrument ... »

28.03.2024 | Redaktion Digital Chiefs

Die Top 5 IT-Trendthemen 2024 für Unternehmen

Das Meinungsforschungsinstitut Gartner hat für Unternehmen zahlreiche Trends identifiziert. Sie zeigen ... »

26.03.2024 | Redaktion Digital Chiefs