„Never ending Story“

Fünf europäische Cloud-Prinzipien

Juristischer Hintergrund zum Datentransfer zwischen EU und USA

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 sein Urteil in der Rechtssache „Schrems II“ (C-311/18) verkündet: Das Privacy Shield, welches bis dato den Datentransfer zwischen der EU und den USA regelte, ist nun ungültig. Das hat weitreichende Folgen. Vorab die gute Nachricht für Unternehmen: Auch wenn der EuGH das transatlantische Datenschutzabkommen gekippt hat, bleiben die angefochtenen EU-Standardvertragsklauseln, die als Rechtsgrundlage für Datenübermittlungen in alle Länder außerhalb der EU gelten, weiterhin gültig. Das ist für alle Unternehmen bedeutsam, die die personenbezogene Daten ins außereuropäische Ausland – und damit auch in die USA – übermitteln. Denn ohne die Standardvertragsklauseln der EU-Kommission wäre der gesamte weltweite Datentransfer zum Erliegen gekommen. Allerdings stehen längerfristig auch die EU-Standardvertragsklauseln möglicherweise zur Disposition. Einige Experten gehen davon aus, dass früher oder später Beschwerden über den Umgang mit personenbezogenen Daten gemeldet werden und das Thema der fehlenden Durchsetzbarkeit von Rechten bezüglich personenbezogener Daten dann über die Institution der Datenschutzbeauftragten wieder auf den Tisch kommen wird. Entsprechende Stimmen einzelner Datenschutzbeauftragter sind bereits hörbar. Vor diesem Hintergrund werden die Weichen für den Datentransfer aus der EU in die USA neu gestellt, weil der EuGH nach Safe Harbor im Jahr 2015 dem transatlantischen Datenaustausch auch das Nachfolgeabkommen Privacy Shield für ungültig erklärt hat. So traten am 25. März die EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden in Brüssel vor die Kameras und verkündeten das „Trans-Atlantic Data Privacy Framework“, welches daraufhin mancherorts bereits als Nachfolger der beiden oben genannten EU-gerichtlich einkassierten Abkommen „Safe Harbor“ und „Privacy Shield“ gehandelt wurden. Bei genauerem Hinsehen wurde allerdings kein rechtsgültiges Datentransferabkommen geschlossen, sondern lediglich der politische Wille dazu bekundet, dass man das machen wolle und sich auch darin einig sei, dass man das machen wolle. So wies unter anderem Netzpolitik.org darauf hin, dass zwar neue Regeln in Hinblick auf den Datenzugriff durch US-Behörden sowie ein Beschwerdemechanismus für EU-Bürger versprochen werden, allerdings liege aktuell weder eine konkrete Gesetzesänderung in den Staaten, noch ein bindender, transatlantischer Vertrag vor. Biden könnte das per Executive Order ändern, aber die könnte wiederum einkassiert werden. Politisch scheint es in den USA schwierig zu sein, EU-Bürger mit besseren Abwehrrechten gegenüber einem datenhungrigen Staat auszustatten, als die eigene Bevölkerung. Der Kern dieser juristischen Auseinandersetzung liegt doch darin, dass das EU-Recht vorsieht, dass das Datenschutzniveau im Zielland EU-Standards entsprechen muss. Bei den beiden gescheiterten Vorgängern wurde zwar politisch beschlossen, dass das so sei, nachdem in den USA an kleineren Stellschrauben gedreht wurde, aber vor dem europäischen Gerichtshof wurde dieser Beschluss wieder einkassiert, da sich die Realität nach Ansicht der Richter anders darstellt. Aus dieser Vergangenheit könnte man lernen, dass in dieser Frage konkrete Fakten zählen und nicht gut gemeinte Bekundungen mit tollem Namen. Vor dem Hintergrund dieser fragwürdigen rechtlichen Rahmensetzung ist Microsoft offenbar selbst tätig geworden und hat „fünf europäische Cloud-Prinzipien“ aufgestellt, nach denen das Unternehmen sein Cloud-Geschäft in Europa nach eigenen Angaben ausrichten will.