Channel Fokus: Virtual Datacenter Gretchenfrage Datentransfer

Neben hohen Wechselbarrieren, wenn das virtuelle Rechenzentrum steht, bremst das Fehlen eines Safe-Harbor-, beziehungsweise Privacy-Shield-Nachfolgers so manches Projekt aus. Das „Trans-Atlantic Data Privacy Framework“ hilft derzeit an dieser Stelle nicht weiter.

Anbieter zum Thema

Fsas Technologies GmbH

Impossible Cloud GmbH

Wer die globale Infrastruktur großer Hyperscaler nutzt, um ein virtuelles Datacenter zu betreiben und dabei Datentransfer personenbezogener Daten in die USA nicht ausgeschlossen werden kann, kommt an einer Frage nicht vorbei: „Wie hältst Du's mit der Rechtssicherheit?“

Denn alle bisherigen Datenschutzabkommen zwischen der EU und den USA, die getroffen wurden, haben Gerichte fast schon in gewohnter Regelmäßigkeit juristisch einkassiert. Das Safe-Harbor-Abkommen bot einen rechtlichen Rahmen zwischen 2000 und 2015, das Nachfolgeabkommen Privacy Shield hielt nur noch von 2016 bis 2020. Zwar spricht kaum noch jemand vom „NSA-Skandal“, aber nur weil das Thema medial aus der Welt zu sein scheint, ist es das auf einer juristischen Ebene noch lange nicht.

Es folgt der „Privacy Shield“

Die EuGH-Richter legten im Zuge des Wegfalls des Safe-Harbor-Abkommens eine lange Mängelliste vor und beschlossen, dass das Abkommen vor diesem Hintergrund nicht gültig sein kann. Ein Kern­kritikpunkt war, dass ein persönlich Betroffener keine praktische Möglichkeit hat, seine Rechte durchzusetzen, die ihm in ­Zusammenhang mit personenbezogenen Daten zustehen. Außerdem gilt die Weitergabe von Daten an Geheimdienste und Behörden als Problem. Die EU kam daraufhin in Zugzwang und zauberte das „Privacy Shield“ aus dem Hut.

Zugriff auf Daten von EU-Bürgern

Schon zur Einführung wurde mancherorts bemängelt, dass damit die zentralen ­Kritikpunkte in Hinblick auf die Durchsetzbarkeit von Rechten nicht geklärt sind. So kam es, wie es kommen musste: Nach einer erneuten Prüfung wurde festgestellt, dass persönlich Betroffene aus der EU im US-Justizsystem besagte Rechte praktisch nicht durchsetzen können und die ­Geheimdienste nach wie vor Zugriffe auf Daten erhalten, so dass nun auch das ­Folgeabkommen Privacy Shield gekippt wurde. Ein irisches Gericht hatte im ­Vorfeld Zweifel an der Wirksamkeit des Privacy Shield geäußert. Der EuGH hat dieses ­Abkommen einkassiert, weil er die Rechte der EU-Bürger durch Maßnahmen der US-­Sicherheitsbehörden verletzt sah. Denn diese hatten nach wie vor weitreichende Befugnisse, auf Daten zuzugreifen – eben auch auf solche von EU-Bürgern.

Die Krückenlösung

Standardvertragsklauseln kamen in Folge als juristisches Vehikel ins Spiel. Die Zusammenarbeit mit Personendaten verarbeitenden Firmen im Ausland, also beispielsweise in den USA, wurde auf die Grundlage der so genannten EU-Standardvertragsklauseln umgesetzt. Hierbei sollen dann keine intergouvernementalen Abkommen wie Safe Harbor oder Privacy Shield die Rechte der Nutzer schützen, sondern Vereinbarungen zwischen Vertragspartnern.

Da es sich dabei rechtlich letzten Endes um Vertragsverhältnisse zwischen einzelnen Unternehmen handelt, können diese schwerer für ungültig erklärt werden. Die Sache hat jedoch einen Haken. Beschwerden über den Umgang mit personenbezogenen Daten können bei Datenschutz­behörden gemeldet werden und das nicht gelöste Thema der fehlenden Durchsetzbarkeit von Rechten bezüglich personenbezogener Daten wird dann über die Institution der Datenschutzbeauftragten wieder auf den Tisch kommen. Entsprechende Stimmen einzelner Datenschutzbeauftragter sind bereits hörbar.

Das „Trans-Atlantic Data Privacy Framework“

Zuletzt sollte ein gemeinsames Statement von EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden das Transatlantische Datenbündnis kitten und es sorgte zumindest für ein Aufflammen der Debatte rund um die Problematik. „Trans-Atlantic Data Privacy Framework“ heißt die Initiative, die dafür sorgen soll, dass endlich rechtliche Klarheit einkehren kann. Womöglich wurde das Abkommen zu früh in einem Atemzug mit Safe Harbor und Privacy Shield genannt, die wenigstens während der Dauer ihrer Gültigkeit einen verlässlichen Rechtsrahmen boten.

Kein rechtsgültiges Abkommen

Was jedoch am 25. März 2022 in einem ­gemeinsamen Auftritt von EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden vorgelegt wurde, war gar kein richtiges Abkommen, sondern eher eine Absichtserklärung. Die beiden traten in Brüssel vor die Kameras und verkündeten das „Trans-Atlantic Data Privacy Framework“, welches daraufhin mancherorts bereits als Nachfolger der beiden ­EU-gerichtlich einkassierten Abkommen ­(„Safe Harbor“ und „Privacy Shield“) ­gehandelt wurde. Bei genauerem Hinsehen wurde allerdings kein rechtsgültiges Datentransferabkommen geschlossen, sondern lediglich der politische Wille dazu ­bekundet, dass man das machen wolle.

Realität versus Wunschdenken

Netzpolitik.org weist darauf hin, dass zwar neue Regeln in Hinblick auf den Daten­zugriff durch US-Behörden sowie ein ­Beschwerdemechanismus für EU-Bürger versprochen wurden, allerdings liege aktuell weder eine konkrete Gesetzesänderung in den Staaten, noch ein bindender, transatlantischer Vertrag vor. Biden könnte das per Executive Order ändern, aber die könnte wiederum einkassiert werden. Politisch scheint es in den USA schwierig zu sein, EU-Bürger mit besseren Abwehrrechten gegenüber einem datenhungrigen Staat auszustatten, als die eigene Bevölkerung.

Der Kern der juristischen Auseinander­setzung liegt doch darin, dass das EU-Recht vorsieht, dass das Datenschutzniveau im Zielland EU-Standards entsprechen muss. Bei den beiden gescheiterten Vorgängern wurde zwar politisch beschlossen, dass das so sei, nachdem in den USA an kleineren Stellschrauben gedreht wurde, aber vor dem europäischen Gerichtshof wurde ­dieser Beschluss wieder einkassiert, da sich die Realität nach Ansicht der Richter ­anders darstellt. Die Frage ist, ob sich an dieser ­Realität etwas geändert hat, was zahlreiche Experten verneinen.

(ID:48285547)