"Privacy Shields"

Landesdatenschützer: "Ich werde keine Alleingänge machen"

Christian Rath

Von Christian Rath

Mo, 27. Juli 2020 um 09:07 Uhr

Wirtschaft

Amerikanische Sicherheitsbehörden können exzessiv auf europäische Daten zugreifen. Das hat der EuGH vorige Woche erschwert. Landesdatenschützer Stefan Brink findet das Urteil "halbherzig".

BZ: Herr Brink, betrifft das EuGH-Urteil zum Datentransfer in die USA auch die deutsche Wirtschaft?
Brink: Das Urteil fiel zwar im Streit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook, es betrifft aber auch alle deutschen Unternehmen, die Daten in die USA übertragen. Es geht zum Beispiel um Datenspeicherung und Datenverarbeitung in US-Cloud-Anwendungen.

BZ: Was ist jetzt nicht mehr möglich?
Brink: Die Unternehmen können sich nicht mehr auf den "Privacy Shield" berufen, ein Abkommen der EU-Kommission mit den USA. Der EuGH hat festgestellt, dass die Daten von EU-Bürgern dabei nicht wirkungsvoll vor dem Zugriff von US-Geheimdiensten geschützt werden.

BZ: Die meisten Unternehmen haben damit schon gerechnet und nutzen für ihre Verträge zusätzlich Standard-Datenschutzklauseln, die die EU-Kommission zur Verfügung gestellt hat. Sind diese Unternehmen besser dran?
Brink: Mittelfristig nicht. Der EuGH hat zwar die Standard-Datenschutzklauseln an sich akzeptiert. Aber eine Anwendung auf den Datentransfer in die USA ist kaum möglich. Denn das US-Unternehmen muss dabei versprechen, dass es keinen Gesetzen unterliegt, die den Datenschutz beeinträchtigen. Das konnten und können die US-Unternehmen nicht versprechen, ohne zu lügen.

BZ: Wie finden Sie das EuGH-Urteil?
Brink: Es ist richtig und notwendig, dass der EuGH für die Übertragung von europäischen Daten ins Nicht-EU-Ausland ein gleichwertiges Datenschutzniveau fordert. Aber es ist halbherzig, dass der EuGH nicht gesagt hat, dass die Standard-Datenschutzklauseln im Geschäftsverkehr mit den USA nicht sinnvoll angewandt werden können. Diese unangenehme Botschaft hat er den nationalen Datenschutzbeauftragten überlassen.

"Die USA wollen an ihren Überwachungsprogrammen festhalten und den EU-Bürgern keine Rechte geben, sich dagegen zu wehren."
BZ: Wer muss in Deutschland das EuGH-Urteil umsetzen?
Brink: Das sind die 16 Landesdatenschutzbeauftragten, weil sie für den Datenschutz bei privaten Unternehmen zuständig sind.

BZ: Also zum Beispiel Sie, Herr Brink. Werden Sie jetzt sofort Daimler und den baden-württembergischen Mittelständlern den Datentransfer in die USA verbieten?
Brink: Ich werde keine Alleingänge machen. Die europäischen Aufsichtsbehörden werden sich im Europäischen Datenschutzausschuss auf eine gemeinsame Linie einigen.

BZ: Könnte die gemeinsame Linie so aussehen, dass alle erst einmal auf die EU-Kommission warten, die neue Verhandlungen mit den USA angekündigt hat?
Brink: Das ist eine Option. Allerdings habe ich wenig Hoffnung, dass die EU-Kommission beim nächsten Abkommen bessere Bedingungen aushandeln kann. Die USA wollen an ihren Überwachungsprogrammen festhalten und den EU-Bürgern keine Rechte geben, sich dagegen zu wehren.
Stefan Brink (geb. 1966) ist seit 2016 Datenschutzbeauftragter des Landes Baden-Württemberg. Er ist Jurist.

BZ: Die EU-Kommission hat auch eine Modernisierung der Standard-Datenschutzklauseln angekündigt. Ist das sinnvoll?
Brink: Ja. Derzeit sind die Klauseln sehr abstrakt. Man könnte und sollte die Datenschutzanforderungen beim internationalen Datentransfer viel konkreter benennen. Damit wäre allerdings das Problem mit den US-Geheimdiensten in keiner Weise gelöst.

BZ: Sind differenzierte Lösungen möglich, je nach Art des Datentransfers?
Brink: Ich hoffe es. So könnte bei der Speicherung von Daten in einer US-Cloud eine strenge Verschlüsselung vorgeschrieben werden. Die ist aber nicht möglich, wenn die Daten von den US-Unternehmen auch verarbeitet werden sollen. Das gilt schon für ein einfaches Textverarbeitungsprogramm in der Cloud.

BZ: Datenverarbeitung in den USA müssten Sie demnach verbieten?
Brink: Die deutschen Datenschutzbehörden waren immer konstruktiv. Sie haben nie etwas verboten, ohne Lösungswege aufzuzeigen.

"Mehr Datenschutz ist eben manchmal teurer."
BZ: Gibt es europäische Alternativen?
Brink: Bei bloßen Datenbanken gibt es Alternativen in der EU. Bei der Datenverarbeitung sehe ich das nur sehr begrenzt.

BZ: US-Firmen könnten ihre Cloud-Angebote ja in europäischen Rechenzentren hosten?
Brink: Das haben sie auch versucht. Doch dann wurde in den USA 2018 der Cloud Act beschlossen. Seitdem sind US-Unternehmen auch dann verpflichtet, mit US-Sicherheitsbehörden zu kooperieren, wenn Datenspeicherung und -verarbeitung ganz außerhalb der USA stattfinden.

BZ: Wie haben die US-Unternehmen reagiert?
Brink: Microsoft hat zum Beispiel ein Joint Venture mit der Deutschen Telekom gegründet, um sich dem Zugriff der US-Behörden zu entziehen. Allerdings konnte sich dieses Gemeinschaftsunternehmen am Markt nicht durchsetzen. Mehr Datenschutz ist eben manchmal teurer.

BZ: Das könnte jetzt ja anders aussehen, wenn der Datentransfer in die USA kaum noch möglich ist. Ist das EuGH-Urteil nicht eine große Chance für europäische Unternehmen?
Brink: Das ist eine gefährliche Argumentation. Die USA werfen Europa schon lange vor, man habe die Digitalisierung verschlafen und versuche nun, mit Hilfe des Datenschutzes die innovativen US-Unternehmen auszubooten.

BZ: Stimmt das?
Brink: Natürlich nicht. Uns geht es wirklich um den Datenschutz. Und wenn der zum Wettbewerbsvorteil wird – umso besser.