EU steht vor Schicksalsfrage beim Datenschutz

Mit Safe Harbor und Privacy Shield gab es bereits zwei Versuche eines Datenaustauschabkommens zwischen Europa und den USA. Beide Abkommen wurden jedoch letztlich vom Europäischen Gerichtshof gekippt, da die US-Gesetze nicht mit den deutlich strengeren Datenschutzgesetzen in Europa in Einklang stehen. Mit der Unterzeichnung der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ durch US-Präsident Joe Biden wurde nun dennoch ein dritter Anlauf gestartet.

Unterwanderung von Datenschutzgesetzen

Deutsche Datenschutzexperten sehen darin einen weiteren Versuch, die strengen hiesigen Datenschutzgesetze zu unterwandern. „Zweimal haben Gerichte transatlantische Datenschutzabkommen bereits als unzureichend bewertet und außer Kraft gesetzt“, sagt Vittorio Bertola vom Open-Source-Spezialisten Open-Xchange. „Auch die dritte Version ist Flickwerk und schützt Daten von EU-Bürgern nicht vor erwiesener Massenüberwachung der US-Behörden“, betont Bertola. „Das ist äußerst bedenklich.“

Die erste Hürde stellt nun zunächst das EU-Parlament dar. Dieses müsste zunächst einen Angemessenheitsbeschluss fassen, der zu dem Schluss kommt, dass die USA auf einem Datenschutzniveau mit Europa liegen. Denn dies wäre die Grundvoraussetzung für ein erfolgreiches Abkommen. Ein erster Entwurf des Angemessenheitsbeschlusses liegt mittlerweile sogar vor. Darin kommt die EU-Kommission zu dem Entschluss, dass die USA ein angemessenes Schutzniveau bieten, um personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Europäischer Datenschutzausschuss muss absegnen

Bevor der Beschluss tatsächlich erlassen werden kann, muss der Europäische Datenschutzausschuss (EDPB) diesen allerdings absegnen. In diesem Ausschuss sitzen die Vertreter der EU-Mitgliedstaaten, die den Angemessenheitsbeschluss prüfen. Ein Mitwirkungsrecht gibt ihnen dabei die Möglichkeit, den Entwurf anzupassen und zu überarbeiten. Kommt der Ausschuss zu dem Entschluss, dass der Angemessenheitsbeschluss in seiner finalen Form den Anforderungen des EuGH entspricht, kann die Europäische Kommission den Angemessenheitsbeschluss schließlich erlassen.

Die erste Einschätzung der EU-Kommission teilen jedoch längst nicht alle. Die „General Data Protection Regulation“ (GDPR), der in Deutschland mit der Datenschutzgrundverordnung DSGVO entsprochen wird, und die neueste US-Initiative sind laut Experten allerdings inkompatibel. „Solange sich die USA weiterhin so eklatant wie bisher über das europäische Datenschutzniveau hinwegsetzen, kann es keine stabile rechtliche Basis geben“, erklärt Detlef Schmuck vom Hamburger Softwarehersteller TeamDrive Systems.

Positiver Beschluss des EU-Parlaments wäre skandalös – aber denkbar

Dennoch hält der Experte für Datensicherheit es durchaus für möglich, dass es einen entsprechenden finalen Beschluss im EU-Parlament geben wird, weil dieser „politisch gewollt“ sei. Ob dies tatsächlich so ist, wird die Zukunft zeigen. Aus Datenschutzsicht wäre das jedoch skandalös. Denn das hieße, dass das EU-Parlament die europäischen Datenschutzgesetze missachten würde, um wirtschaftliche und womöglich weitere Interessen zu verfolgen. Schließlich steht auch in der neusten von Joe Biden auf den Weg gebrachten Initiative, dass US-Behörden auf Daten von EU-Bürgern zugreifen dürfen. Und das nicht nur, wenn die nationale Sicherheit bedroht sei, sondern auch, um internationale Finanzdelikte aufzudecken, schwere Straftaten zu verfolgen oder wenn nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können – oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde.

„Die US-Behörden werden angesichts dieser schwammigen Formulierungen in der Praxis immer in der Lage sein, eines dieser Kriterien anzuführen, um haufenweise an die Daten von EU-Bürgern zu kommen“, warnt Detlef Schmuck. Und so ist sich der Datensicherheitsexperte sicher, dass der Europäische Gerichtshof auch das neue Abkommen als groben Verstoß gegen die europäische Datenschutzgesetzgebung einstufen würde, sollte dieses tatsächlich vom EU-Parlament auf den Weg gebracht werden. „Europäische Unternehmen sind weiterhin gut beraten, personenbezogene Daten konsequent innerhalb der EU zu halten, deutsche Firmen am besten innerhalb Deutschlands“, lautet sein Ratschlag.

Europäische Lösungen bieten Schutz – unabhängig von Parlamentsentscheidungen

Möglich ist dies beispielsweise mit quelloffenen Lösungen, mit denen User nicht von einzelnen Anbietern abhängig sind. „Die neue Initiative der USA ist aus vielerlei Hinsicht bedenklich, zeigt aber auch eindrucksvoll, warum wir mit Open-Source-Lösungen wie dem digitalen Arbeitsplatz Phoenix für Behörden oder dem souveränen Cloud Stack SCS auf dem richtigen Weg zur Digitalen Souveränität sind“, so Vittorio Bertola von Open-Xchange. Im Gegensatz zu proprietären Produkten von US-Anbietern wie Microsoft lassen sich personenbezogene und sensible Daten mittels Open Source gezielt schützen. Je nach Sicherheitsstufe und Bedarf können die jeweiligen Daten dabei beispielsweise an verschiedenen Orten gesichert werden. Was gegebenenfalls in eine Cloud soll und wo die Rechner stehen, entscheiden die Anwender. Handelt es sich dabei und deutsche Rechenzentren oder lokale Speicher, können dann selbst Joe Biden und seine Geheimdienste nicht darauf zugreifen – unabhängig davon, was das EU-Parlament und der Europäische Gerichtshof letztlich entscheiden.