Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Deutsche Firmen nutzen US-Cloud-Dienste derzeit ohne ausreichende Rechtsgrundlage. Nun soll die EU-Kommission eine Zwischenlösung finden.
Serverraum
Der Europäische Gerichtshof (EuGH) hatte den „Privacy Shield“ Mitte Juli 2020 für nichtig erklärt. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen.
Bild: AP
Berlin Weil die Verhandlungen über ein neues EU-US-Datenschutzabkommen offenbar nicht vorankommen, fordern deutsche Unternehmen von der EU-Kommission eine Übergangslösung für den transatlantischen Datenverkehr.
„Was Unternehmen in der gesamten EU und auf beiden Seiten des Atlantiks jetzt brauchen, ist Rechtssicherheit für Datentransfers und ein klares politisches Signal der Unterstützung“, heißt es in einem gemeinsamen Schreiben von SAP, Thyssen-Krupp und SPD-Wirtschaftsforum an die EU-Kommission. „Bis ein neues Datenschutzabkommen zwischen den USA und der EU vereinbart ist, braucht es eine Übergangsstrategie.“ Ein ähnliches Schreiben hatte im März auch die Bundesregierung erhalten.
Die Unterzeichner des Briefs an die Vizepräsidenten der Kommission Valdis Dombrovskis und Margrethe Vestager und EU-Justizkommissar Didier Reynders reagieren damit auf ein Urteil des Europäischen Gerichtshofs (EuGH) von Juli 2020 zum Datenaustausch zwischen den USA und Europa. Das Schreiben liegt dem Handelsblatt vor.
Die Richter hatten seinerzeit die Vereinbarung „Privacy Shield“ mit dem Hinweis gekippt, dass in den USA kein vergleichbares Datenschutzniveau wie in der EU existiere und die Daten somit nicht ausreichend vor dem Zugriff amerikanischer Geheimdienste geschützt seien. Viele US-Cloud-Dienste verstoßen damit gegen die europäische Datenschutz-Grundverordnung (DSGVO). Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.
Für die Datenübertragung in die USA besteht damit „de facto keine sichere Rechtsgrundlage für Unternehmen“, heißt es in dem Brief an die Kommission. Entsprechend groß sei die Verunsicherung in der Wirtschaft. Die Situation stelle gar „ein sehr ernsthaftes Hindernis für weitere Entscheidungen über Investitionen und wirtschaftliche Aktivitäten dar“. Die Unterzeichner des Schreibens fordern deshalb von Brüssel „koordinierte Schritte auf europäischer Ebene, um rechtskonforme Anpassungen im Datentransfer zu gewährleisten“.
Wie eine Übergangslösung aussehen könnte, wird in einem Positionspapier skizziert, das dem Schreiben beigefügt ist. An der Erarbeitung des Papiers waren weitere deutsche Konzerne beteiligt, darunter Siemens und Allianz sowie US-Techunternehmen wie Microsoft, Amazon, Google und Facebook.
Beschrieben werden verschiedene mit der europäischen Datenschutz-Grundverordnung (DSGVO) konforme Schutzmaßnahmen, darunter die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten. Oder technische Vorkehrungen wie die „Verschlüsselung der gespeicherten Daten mit Schlüsselgewalt beim Auftraggeber“.
Bei den Standardvertragsklauseln haben Betroffene laut EuGH die Möglichkeit, die Rechtmäßigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Der Einsatz solcher Klauseln ohne notwendige zusätzliche Garantien bleibe rechtswidrig, gab Baden-Württembergs Datenschutzbeauftragter Stefan Brink zu bedenken.
Als problematisch gelten zudem die, wie sie der SPD-Digitalpolitiker Jens Zimmermann einmal nannte, „berüchtigten, geheim tagenden“ Fisa-Gerichte in den USA. Fisa steht für „Foreign Intelligence Surveillance Act“ – ein US-Gesetz, nach dem Geheimdienste wie die NSA, Sicherheitsbehörden wie das FBI und andere auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten dürfen.
Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass auf diese Weise Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgeschöpft werden.
Die Zeit für eine Lösung drängt. Denn Datenschützer in Deutschland wollen bundesweit die Nutzung von US-Clouddiensten in den Fokus nehmen. Bisher gebe es in der Sache ein „Vollzugsdefizit“, sagte der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, kürzlich dem „Spiegel“. Das soll sich durch länderübergreifende Stichproben nun ändern, die Fragebögen dafür würden abgestimmt.
Um auf die Datenschutzbedenken einzugehen, startete Microsoft in dieser Woche eine weitreichende Produktoffensive. Kunden in der Europäischen Union sollen künftig ihre Daten bei Microsoft ausschließlich in der EU verarbeiten und speichern lassen können. Die technischen Anpassungen sollen bis Ende kommenden Jahres abgeschlossen sein, kündigte das weltgrößte Softwareunternehmen am Donnerstag an.
Der US-Konzern gehört neben Amazon und Google zu den drei weltgrößten Anbietern von Cloud-Diensten und betreibt Rechenzentren in 13 europäischen Ländern – darunter Deutschland, Irland, Frankreich und Schweden. „Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen“, erklärte Microsoft-Präsident Brad Smith in einem Blogeintrag.
Das neue Microsoft-Angebot einer „EU-Datengrenze“ richtet sich an Kunden in Unternehmen und dem öffentlichen Sektor, nicht an private Anwender. Die Verpflichtung werde für alle zentralen Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365.
„Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen“, heißt es in dem Blogeintrag von Smith.
Der Hamburger Datenschützer Caspar lobte den Vorstoß des Softwarekonzerns. Mit seinem Angebot einer „EU-Datengrenze“ setze Microsoft „Maßstäbe, denen die Mitbewerber hoffentlich folgen werden“, sagte Caspar dem Handelsblatt.
Der Behördenchef sieht dadurch jedoch nicht das Problem ausgeräumt, dass seit dem EuGH-Urteil zum „Privacy Shield“ Firmen ohne ausreichende Rechtsgrundlage agieren. Die Verlagerung einzelner Dienste in die EU löse nicht „das generelle Problem der Inkompatibilität beider Rechtsregime“, sagte Caspar. „Der Bedarf nach einer rechtssicheren und grundrechtskonformen Möglichkeit des Datenaustauschs ist nach wie vor riesig, wenn die transatlantische Zusammenarbeit in der Wirtschaft auch in Zukunft reibungslos funktionieren soll.“
Andererseits könnte der vermeintliche Zugriff der US-Geheimdienste auf die Daten technisch ausgehebelt werden, wenn die Kunden ihre Cloud-Daten selbst wirksam schützen. Darauf weist Microsoft-Präsident Smith hin. „Viele unserer Dienste legen die Kontrolle über die Verschlüsselung der Daten in die Hände der Kunden.“ Dabei kämen Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. „Wir schützen die Daten unserer Kunden vor dem unrechtmäßigen Zugriff durch jede Regierung der Welt.“
Datenschützer Caspar sieht darin „letztlich die Lösung, um auch US-amerikanischen Anbietern persönliche Daten anzuvertrauen“. „Wenn eine Entschlüsselung durch den Anbieter ausgeschlossen werden kann, dürfen die Daten auf Grundlage der Standardvertragsklauseln auch weltweit gespeichert werden“, sagte er.
Zu beachten sei jedoch, dass die Anbieter auch ohne Einsichtnahme in die gespeicherten Inhalte jederzeit die verschlüsselten Daten aus ihren Rechenzentren entfernen und somit die Verfügbarkeit beeinflussen könnten. „Ein solches Szenario ist jedenfalls technisch durch die jetzigen Bestrebungen Microsofts nicht ausgeschlossen.“
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×