Thought Leadership
Die USA gelten nach dem Entschluss des Europäischen Gerichtshofs zum Safe-Harbor-Abkommen nicht mehr als datenschutzkonform. Doch sind die Daten in Europa wirklich überall gleich gut geschützt? Ein Überblick über die Lage nach der EuGH-Entscheidung.
Es ist eine einzelne Entscheidung, aber sie hat einer jahrelangen Praxis die Grundlage entzogen: Der Europäische Gerichtshof (EuGH) hat de facto das Safe-Harbour-Abkommen gekündigt. Auf seiner Grundlage war seit 15 Jahren die datenschutzrechtlich unbedenkliche Nutzung von IT-Diensten in den USA geregelt. Auslöser war eine Klage gegen Facebook, das wegen seiner hohen Benutzerzahl ein gutes Beispiel für die schwierige Datenschutzsituation bei Cloud- und Webservices ist. 2011 verlangte der damalige Student und jetzige Jurist Maximilian Schrems aus Österreich Auskunft über seine bei Facebook gespeicherten Daten.
Das Ergebnis: Eine PDF-Datei mit 496 Megabyte. Sie enthielt einige Überraschungen – längst gelöschte Angaben, nicht mehr vorhandene Freunde und eine Liste aller Computer, mit denen er sich angemeldet hatte. Diese widerspricht der EU-Datenschutzrichtlinie, so dass Schrems dagegen klagte.
Uneinheitlicher Datenschutz in der EU
Die irische Datenschutzbehörde, die für die Facebook-Europazentrale in Dublin verantwortlich ist, sah keinen Regelverstoß. Die Auffassung der Iren: Facebook verstoße weder gegen die EU-Richtlinie noch gegen das Safe-Harbour-Abkommen. Andere Datenschützer und Max Schrems schätzen das Vorgehen von Facebook jedoch als problematisch ein – und das EuGH ist ihnen in dieser Einschätzung gefolgt.
Damit ist eine der wenigen wirklich EU-weit einheitlichen Regelungen für den Datenschutz gekippt. Denn erstaunlicherweise ist er in den EU-Staaten ziemlich uneinheitlich geregelt, obwohl die EU-Datenschutzrichtlinie von 1995 das genaue Gegenteil erreichen sollte. Doch die Einzelstaaten mussten sie erst einmal in nationales Recht umsetzen und hatten dabei einen gewissen Spielraum.
Zum Beispiel Österreich. Unser Nachbarland hat im Jahr 2000 ein neues Datenschutzgesetz eingeführt. Es orientiert sich an der EU-Richtlinie und weicht in der Wirkung nur wenig von der deutschen Variante ab. Es gibt jedoch einen sehr prägnanten Unterschied: Österreich kennt nicht die Institution des Datenschutzbeauftragten. Stattdessen müssen die Unternehmen jede Art von Datenspeicherung und -übertragung an die Datenschutzbehörde melden.
Auf den ersten Blick sieht das strenger aus als in Deutschland. Schließlich wird hierzulande der Datenschutzbeauftragte im Unternehmen ernannt und entstammt häufig den eigenen Fachabteilungen. Die Unternehmen sorgen also intern dafür, dass ihr Vorgehen mit dem Bundesdatenschutzgesetz und allen anderen gültigen Regelungen wie etwa der Cookie-Richtlinie übereinstimmt.
In den meisten Ländern der EU müssen die Unternehmen wie in Österreich ihre genaue Vorgehensweise melden und werden dann möglicherweise geprüft. Doch hier ist der Knackpunkt. Die Prüfung erfordert einen Prüfer und daran kann es hapern. So ist zum Beispiel bekannt, dass die Datenschutzbehörde in Irland nur wenig Personal hat. Sie kann ihren Prüfpflichten nicht besonders gut nachkommen – einer der Gründe, warum die Insel bei international agierenden IT-Unternehmen so beliebt ist.
Neuregelung mit Gesetzeskraft
Wenn es allerdings darum geht, Kunden zu überzeugen, wird der ungeliebte EU-Datenschutz rasch zum Werbeargument. So betonen die Amazon Web Services, dass sie aufgrund einer aktuellen Prüfung der luxemburgischen Datenschutzbehörde die EU-Datenschutzgesetze erfüllen. Diese Aussage ist missverständlich, denn die Behörde hat ausschließlich die Datenverarbeitungsvereinbarung geprüft. Sie hat selbst darauf hingewiesen, das „positive Ergebnis dieser begrenzten Untersuchung“ solle nicht „als Beleg dafür missverstanden werden, dass Amazons vertragliche Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprechen.“
Hieran wird deutlich, dass die Art der Prüfung des Datenschutzes sehr unterschiedlich ausfällt. Im Normalfall können die Behörden die Einhaltung nur schwer direkt überwachen. Sie sind aufgrund personeller Unterbesetzung auf Selbstauskünfte angewiesen und prüfen damit lediglich die Übereinstimmung mit der EU-Richtlinie. In Deutschland jedoch haften Geschäftsführer persönlich für die Einhaltung des deutschen Datenschutzes.
Zusammengefasst ergibt sich kein besonders gutes Bild: Selbst nach 20 Jahren sind Rechtsrahmen und administrative Praxis in der EU stark voneinander abweichend. Dies war ein wichtiger Grund dafür, dass die neue Datenschutzrichtlinie der Europäischen Kommission eben keine Richtlinie mehr ist. Sie ist stattdessen eine sogenannte EU-Grundverordnung.
Die neue Regelung wird in den EU-Mitgliedsstaaten unmittelbare Gesetzeskraft haben und in Deutschland zum Beispiel das Bundesdatenschutzgesetz ablösen. Trotzdem kann die Bundesrepublik auch weiterhin eigene Regeln beschließen. Denkbar wäre eine Festschreibung der Position des Datenschutzbeauftragten, sofern die EU-Datenschutz-Grundverordnung dies über eine Öffnungsklausel vorsieht.
Über eine grundlegende Harmonisierung der Datenschutzregeln hinaus kann eine solche Verordnung allerdings das Praxisproblem nicht lösen. Die Verwaltungswirklichkeit wird sich so bald nicht angleichen. Es ist für Politiker rational, Standortfaktoren möglichst zu erhalten, um auch weiterhin global agierende Unternehmen anzulocken und nicht etwa abzuschrecken. Für deutsche Unternehmer bedeutet das permanente rechtliche Unsicherheit.
Der Unternehmenssitz entscheidet
Denn dann gibt es noch die betriebliche Praxis. So wirbt nicht nur Amazon damit, dass die Rechenzentren in der EU angesiedelt sind. Angesichts der Diskussion über abhörende Geheimdienste ist das eine dringend notwendige PR-Offensive, mit der die Unternehmen hoffen, die deutsche Skepsis in Sachen Cloud abzubauen. Doch selbst wenn die Anbieter tatsächlich die Daten europäischer Kunden nur in der EU speichern, zeigt ein genauer Blick bei manchen Unternehmen eine unangenehme Wahrheit: Die Daten mögen zwar in einem Storage-Array irgendwo in Europa liegen, aber der Administrator mit Vollzugriff sitzt je nach Uhrzeit mal in Indien und mal in den USA.
Remote-Zugriffe aus allen Richtungen entsprechen natürlich nicht den EU-Datenschutzregeln, egal wie locker oder wie streng man sie interpretiert. Darüber hinaus können Kunden auch über den Rechtsstatus der oft US-basierten Anbieter stolpern. So interpretieren US-Behörden die Niederlassungen in Europa als US-Unternehmen – mit der Folge eines relativ leichten Vollzugriffs auf sämtliche Daten.
Genau diese Zusammenhänge haben das EuGH dazu gebracht, den Kommissionsbeschluss zum Safe-Harbour-Abkommen aufzuheben. Auf Basis des Abkommens hatte die Kommission offiziell die Datenschutzkonformität von US-Anbietern festgestellt. Dadurch konnten europäische Unternehmen Verträge mit US-Anbietern ohne Prüfung des Datenschutzes abschließen. Dieser Automatismus ist jetzt aufgehoben, faktisch sind die entsprechenden Geschäftsbeziehungen jetzt illegal.
Die Lösung? Die Unternehmen haben vier Möglichkeiten: Sie können entweder die EU-Standardvertragsklauseln nutzen, bindende Corporate Rules mit den Auftragnehmern vereinbaren, sich die Datenverarbeitung von allen Kunden genehmigen lassen oder bei den Aufsichtsbehörden um Genehmigung der Datenübertragung nachsuchen.
Diese Wege sind weder einfach noch schnell zu gehen. Für ein Unternehmen auf der Suche nach einem verantwortungsbewussten Cloudprovider kann es nur um eines gehen: Die Daten müssen dauerhaft und unter allen Umständen in Deutschland verbleiben. Und das kann im Moment nur ein deutscher Dienstleister mit der Firmenzentrale und Rechenzentren in Deutschland leisten. Wer als IT-Manager ganz sicher gehen will, deutsche Datenschutzbestimmungen einzuhalten, sollte auf einen Cloud-Provider aus Deutschland setzen. Der er unterliegt den gleichen Bestimmungen wie sein Unternehmen.
Andreas Gauger, Gründer und CMO von ProfitBricks
