Datenschutz
25.07.2020, 06:00 Uhr
Wie weiter nach dem Aus für den «Privacy Shield»?
Nach dem Aus für den «Privacy Shield» stellen sich zahlreiche Fragen zu den Auswirkungen für Unternehmen – sowohl in der EU als auch in der Schweiz. Nun fordern manche Datenschützer konsequentes Handeln und rufen zum Wechsel zu europäischen Cloud-Providern auf.
Am 16. Juli hat der Europäische Gerichtshof (EuGH) die umstrittene Datenschutzvereinbarung «Privacy Shield» zwischen den USA und der EU aufgelöst (Computerworld berichtete). Diese legte bislang die Standards für den Umgang mit Daten aus Europa in den Staaten fest. Hinter dem Urteil steht der jahrelange Rechtsstreit zwischen Max Schrems und Facebook. Der österreichische Jurist und Aktivist hatte sich bei der irischen Datenschutzbehörde darüber beschwert, dass das Unternehmen seine Daten an die Muttergesellschaft in den USA weiterschickt – diese dort allerdings nicht ausreichend vor Zugriffen der US-Geheimdienste geschützt sind.
Nachdem der «Privacy Shield» nun gekippt ist, stellen sich zahlreiche Fragen zu den Auswirkungen des EuGH-Urteils. Denn grundsätzlich geht man davon aus, dass es noch Jahre dauern dürfte, bis ein mögliches Nachfolgeabkommen ausgearbeitet ist. In der Zwischenzeit gelten nun die Standardvertragsklauseln gemäss der Datenschutzgrundverordnung. Allerdings müssen auch diese ein angemessenes Schutzniveau von europäischen Daten in einem Drittstaat garantieren – genau das trifft eben aus Sicht des EuGHs auf die USA nicht zu.
Verantwortlich dafür sind zwei Akte: der Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333. Der FISA bildet die Grundlage für die beiden Überwachungsprogramme PRISM und UPSTREAM. PRISM weist Anbieter von Internet-Diensten an, der NSA und teils auch dem FBI und der CIA alle von einer bestimmten Person gesendeten und empfangenen Mitteilungen zur Verfügung zu stellen. UPSTREAM nimmt hingegen die Telkos in die Pflicht, der NSA das Kopieren und Filtern des Internet-Traffics zu gestatten. Die Executive Order 12333 erlaubt der NSA schliesslich den Zugang zu Seekabeln im Atlantik, um Daten zu sammeln und zu speichern, noch bevor sie überhaupt in den Staaten ankommen.
Datenschützerin ruft zum Wechsel zu europäischen Cloud-Providern auf
Was bedeutet das Aus für den «Privacy Shield» nun konkret für Unternehmen? Einige Stimmen drängen auf ein konsequentes Handeln – so etwa Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Sie fordert Verantwortliche – insbesondere bei der Nutzung von Cloud-Diensten – nun dazu auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Oder anders gesagt: Betroffene Unternehmen sollen jetzt auf europäische Cloud-Provider umsteigen.
Die Aufgabe, unzulässige Datenexporte zu verbieten, haben die Luxemburger Richter indes den jeweiligen Datenschutzbehörden übertragen. So fasst die Berliner Datenschützerin in einem Communiqué zusammen: «Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar grössere Probleme bestehen.»
Auch Max Schrems schlägt übrigens unter anderem den Umstieg auf europäische Cloud-Provider als Lösung vor. Auf der Website des von ihm gegründeten Non-Profit-Unternehmens Noyb liefert er eine umfassende Anleitung für EU-Unternehmen sowie Antworten zu den wichtigsten Fragen im Zusammenhang mit dem EuGH-Urteil.
Das Tech-Portal «Golem» bringt in einem Bericht ausserdem den Vorschlag von Peter Schaar, dem ehemaligen deutschen Bundesdatenschutzbeauftragten, ins Spiel. Schaar schlug nach dem Aus des Safe-Harbor-Abkommens unter anderem vor, dass Unternehmen in bestimmten Diensten eine Ende-zu-Ende-Verschlüsselung einrichten könnten, damit kein Dritter – auch nicht sie selbst – auf den Klartext zugreifen können. Allerdings dürfte das, wie er damals bereits bemerkte, die datenbasierten Geschäftsmodelle von Tech-Konzernen wie beispielsweise Facebook oder auch Google ein Stück weit infrage stellen.
Auswirkungen für die Schweiz
So schreibt auch Philippe Gilliéron von Wilhelm Gilliéron Avocats aus Lausanne in einem Blog-Beitrag, dass der Datentransfer in die Vereinigten Staaten aufgrund des Urteils den Marktteilnehmern von nun an schwer fallen dürfte, solange die Daten nicht anonymisiert seien. «Es sei denn, sie sind bereit, das daraus resultierende Risiko zu akzeptieren.»
Schliesslich weist der Rechtsanwalt aus Lausanne noch darauf hin, dass auch Unternehmen aus der Schweiz, deren Aktivitäten eine Datenverarbeitung in den Vereinigten Staaten beinhalten, die Entwicklungen rund um den Datenexport in Drittstaaten verfolgen sollten. Zwar beruht das Urteil des EuGHs ihm zufolge im Wesentlichen auf einer Prüfung der Vereinbarkeit der angefochtenen Entscheidungen mit der Charta der Grundrechte der Europäischen Union. Und die ist auf die Schweiz nicht anwendbar. «Es wäre jedoch naiv zu schliessen, dass das Urteil in der Schweiz keine Auswirkungen haben wird», so Gilliéron.
Bislang meldete sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte noch nicht offiziell zu den Auswirkungen des Urteils auf den in der Schweiz gültigen «Swiss-US-Privacy-Shield» zu Wort. Auf der Website des Edöb heisst es diesbezüglich lediglich, dass man das EuGH-Urteil zur Kenntnis genommen habe, dieses nun im Detail prüfe und sich «zu gegebener Zeit» dazu äussern wolle. Der Rechtsanwalt Gilliéron geht allerdings nicht davon aus, dass der Edöb hierbei von der Position der EU abweichen wird, wie er in seinem Blog-Beitrag schreibt.