Die EU-Kommission hat am 10. Juli ein neues Datenschutzabkommen zwischen den USA und der EU verabschiedet, um den Datentransfer zwischen den beiden Regionen zu regeln. Aller guten Dinge sind drei, sollte man meinen. Im Falle des angestrebten Datenschutzabkommens zwischen Europäischer Union und den USA waren bereits die ersten beiden Anläufe ein Schlag ins Wasser. Der Europäische Gerichtshof kassierte die beiden Vorgängerregelungen, Privacy Shield und Safe Harbor, bereits mit der Begründung ein, dass das Datenschutzniveau in den USA nicht mit den europäischen Standards vereinbar wäre. Die Europäische Kommission hätte gut daran getan, aus den Fehlern der Vergangenheit zu lernen, sich um wirkliche Veränderungen zu bemühen und die Rechtsunsicherheit für Unternehmen zu beenden.
„Das ist offensichtlich nicht passiert und das neue Abkommen kommt deshalb, ganz ähnlich den beiden ersten Anläufen, ebenfalls nicht über Lippenbekenntnisse hinaus und verkauft alten Wein in neuen Schläuchen“, so Holger Dyroff, Co-Founder und COO von ownCloud. So sei insbesondere beim Knackpunkt der Datenabfrage durch Geheimdienste eine weitere große Grauzone entstanden. Zugriffe sollen zwar nur noch erfolgen, wenn sie notwendig und verhältnismäßig seien – das aber aus Sicht der Amerikaner. „Neben den offensichtlichen rechtlichen Schlupflöchern offenbaren diese Formulierungen aber vor allem eines: Bislang haben die USA in unbekanntem Ausmaß auf personenbezogene Daten europäischer Bürger zugegriffen. Auch bei der Definition dessen, was angemessene Zugriffe sind und was nicht, dürften die Ansichten von europäischen und amerikanischen Datenschutzexperten deutlich auseinandergehen“, so Dyroff.
Im Westen also nichts Neues. Obwohl die Entscheidung des EuGH noch aussteht, deutet vieles darauf hin, dass auch das neue Abkommen vor Gericht keinen Bestand haben wird – die entsprechenden Klagen liegen in den Schubladen europäischer Datenschützer schon bereit. Der österreichische Jurist Max Schrems etwa, der bereits gegen die vorherigen Abkommen geklagt hatte, plant erneut Klage einzureichen. Seine Datenschutzorganisation Noyb bemängelt, dass das neue Abkommen weitgehend eine Kopie des gescheiterten „Privacy Shield“ sei. Schrems kritisiert unter anderem die unterschiedliche Auslegung des Begriffs „verhältnismäßig“ zwischen den USA und dem EuGH sowie die fehlenden Rechtsbehelfe im Einklang mit EU-Recht.
Für den nächsten Anlauf sollte sich die Europäische Kommission nach Auffassung von Dyroff konsequent auf das eigentliche Problem konzentrieren: Ein fehlendes „No Spy“-Abkommen mit den amerikanischen Partnern, das unberechtigten Zugriffen auf sensible Daten von Europäern grundlegend einen Riegel vorschiebt.
Bis dahin bleibt es bittere Realität, dass Clouds von US-Anbietern für personenbezogene Daten keinen rechtssicheren Raum darstellen. Alternativen gibt es glücklicherweise, etwa souveräne Software und Technologien, die darauf abzielen, Abhängigkeiten von externen Anbietern oder Ländern zu vermeiden. Dyroff: „Es bleibt zu hoffen, dass der Markt die Notwendigkeit erkennt und in Zukunft mehr solcher Lösungen hervorbringt – es geht schließlich um nicht weniger als die Kontrolle und Autonomie unserer Daten“.
Quelle: Holger Dyroff, Co-Founder und COO von ownCloud aus IT Sicherheit, Magazin für Management und Technik