EUGH erklärt „Privacy Shield“ Abkommen zwischen EU und USA für ungültig

Das Urteil des Europäischen Gerichtshofes vom 16.7.2020 (https://bit.ly/3haf1eM) betrifft den Rechtsstreit Schrems gegen Facebook – und ist viel weitreichender, da es das „Privacy Shield“ Abkommen zwischen der EU und den USA für ungültig erklärt. Den offiziellen Urteilstext gibt es hier bei Curia: http://curia.europa.eu/juris/documents.jsf?num=C-311/18. Der vollständige Titel der Pressemitteilung lautet „Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig“.

Die Datenschutzbehörden können Übermittlungen von Daten untersagen, wenn die Konditionen des „Privacy Shield“ im Zielland des Datenaustausches nicht eingehalten werden (können). Dies ist in den USA gegeben, da dort Behörden wie FBI und Geheimdiensten wie dem NSA jederzeit den Zugang verlangen können. Patriot Act und FISA lassen grüßen. Bereits 2015 hatte der EUGH das Safe-Harbor-Abkommen gekippt. Aktuell befinden wir uns also in Bezug auf den Datenaustausch außerhalb der EU (für die Staaten der EU gibt es den Free Flow of Data, allerdings auch mit Einschränkungen für Daten unter GDPR/DSGVO) in einem nebulösen Vacuum. Die Datenschützer freuen sich, die Digitalwirtschaft ist konsterniert, da ohne internationalen Datenaustausch es nicht weitergehen wird. So wird nach den Klauseln gesucht, die trotzdem einen Datenaustausch möglich machen.

Nun ist aber das Urteil nicht ganz eindeutig und schon im Untertitel der Pressemitteilung steht: „Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.“ Dennoch macht es Sinn, sich auch angesichts dieser 10 Jahre alten Entscheidung nunmehr generell Gedanken über die Verträge und den Schutz der Daten zu machen. Dann ergeben sich auch eine Reihe von Auswirkungen für das Informationsmanagement und den Informationsaustausch, die über die Streitpunkte mit Facebook hinausgehen. Die grundsätzliche Frage ist: reichen die „Standard-Vertragsklauseln“ auch in Zukunft?

Auswirkungen für das Informationsmanagement

Für Das Informationsmanagement gibt es verschiedene Auswirkungen:

• Cloudspeicher
  Viele Anwendungen laufen heute in der Public Cloud, also in den Rechenzentren von Amazon, Google, Microsoft, AliBaba, IBM usw. Hier gelten rechtliche und physische Beschränkungen.
  Rechtlich sind es vielfach US-amerikanische (oder chinesische) Unternehmen, deren Unternehmenszentralen US-amerikanischem Recht auf Offenlegung bei Anfragen unterliegen. Da hilft es auch nicht, wenn die Unternehmen Tochtergesellschaften in Europa oder im jeweiligen europäischen Einzelstaat haben. im Zweifelsfall greift hier das Recht gegenüber der Muttergesellschaft durch.
  Die zweite Beschränkung ergibt sich durch den Speicherort der Daten selbst. Auch wenn der Cloud-Anbieter eine eigenes Rechenzentrum im Land betreibt, so ist nicht sichergestellt, dass die Sicherheitskopien auch im eigenen Land liegen oder in andere Rechenzentren sonstwo synchronisiert werden. Dies kann auch Private Cloud-Lösungen mit IaaS und PaaS betreffen. Also prüfe man sich, welche Informationen wo gespeichert sind (und was vielleicht besser doch Inhouse bleibt).
• Collaboration
  Gerade beim Thema Public Cloud Collaborationsplattformen stellt sich die Frage nach dem Speicherort, da hier in der Regel vom Nutzer dieser nicht festgelegt werden kann. Die Daten schwimmen vielfach in intransparenten Repositories herum. Handelt es sich um ein US-amerikanisches (aber zukünftig auch engländisches oder gar chinesisches) Unternehmen muss man sehr genau prüfen, wie und ob man eine solche Lösung einsetzt. Anders als bei der reinen Cloud-Speicherung, z.B. Archivierung, kommen gerade bei der Collaboration zahlreiche weitere personenbezogene Informationen hinzu. Diese sind unter GDPR-Gesichtspunkten sogar entscheidender als Daten in Dokumenten oder Datensätzen. In der Collaboration stehen komplette Benutzerprofile, alle Transaktionen und Nachrichten, Nutzungs- und Prozessdaten und viele weitere zur direkten Auswertung zur Verfügung. Dies ist wesentlich kritischer als z.B. die von Schrems kritisierte personenbezogene Auswertung in Facebook, da Facebook von den wenigstens für geschäftsbezogene Tätigkeiten benutzt wird (auch wenn es dort eine Art „Office“ gibt). Neben den DSGVO/GDPR-Anforderungen muss man hier auch noch das das GeschGehG denken.
• Datenaustausch
  Beim Datenaustausch kommt man heute nicht umhin, das Internet zu nutzen. Die Hardware darunter besitzt bereits „Sonderzugänge“. Die Daten laufen über Knoten, die sich vielfach im Ausland befinden. Über welche Strecken die Daten transportiert werden, ist nicht kontrollierbar, da das Internet hier selbst für Ausgleich der Kapazitäten und Verbindungen sorgt.
• Eigentum
  Zu diesen offensichtlichen Problemen kommen weitere wie z.B. die Frage des Eigentums und des Besitzes. In öffentlichen Social-Media-Plattformen stimmt man ja zu, dass die Daten dem Plattformbetreiber „gehören“ und auch von diesem ausgewertet und genutzt werden dürfen. Bei vielen Verträgen zur Nutzung von Cloud-Plattformen hat man sich auf die Vorgabe „Privacy Shield“ rechtlich gestützt. Alle diese Verträge haben nun eine Lücke, die anders gefüllt werden muss. Dazu gehören Regelungen, was eigentlich passiert, wenn man seine Rechnung nicht zahlt und dann doch an die eigenen Daten ran will. Internationale Anwaltskanzleien und IT-Spezialanwälte freuen sich schon.

Die Frage „Inhouse oder Cloud“ hat erneut Bedeutung bekommen (auch wenn Inhouse heute keine „absolut“ große Sicherheit mehr bietet und nicht die Verfügbarkeitsvorteile einer weltweiten Cloud hat). Bleiben die zwei Punkte, an denen man jetzt technisch ansetzen kann:

• Übertragung über verschlüsselte Leitung
  Über VPN lässt sich das Risiko reduzieren und man kann auch die übertragenen Daten noch zusätzlich verschlüsseln.
• Speicherung auf verschlüsselten Plattformen
  Manche Cloud-Betreiber bieten an, die gesamte Speicherplattform bei einem IaaS oder PaaS zu verschlüsseln. Dies gilt auch für verschiedene Anbieter von Datensicherungs- und Archivierungssoftware in der Cloud, wo man seine Backups ablegt.

Letztlich helfen aber weder rechtliche Formulierungen noch technische Maßnahmen. Es geht um Vertrauen. Wem vertraut man seine Daten an. Und wenn die Daten erstmal woanders sind – wie auch immer abgesichert – wird es in der Zukunft andere Regelungen, andere Nutzungen, andere Unternehmenslenker geben, die auf die heutigen Vereinbarungen und die heutige Technik keinen Wert mehr legen – um es einmal „vorsichtig positiv“ zu formulieren.

Ob es nach dem Privacy Shield ein neues, besseres Abkommen geben wird? Nicht in dieser Legislaturperiode der USA. Und in Zukunft? Die macht der Internet- und Softwarekonzerne wächst unaufhörlich und die Kontrollmöglichkeiten werden immer dürftiger. Immerhin ist durch den Wegfall des Privacy Shield auch die bisher betriebene „Augenwischerei“ erledigt. Danke an Maximilian Schrems.