Trump gefährdet Privacy-Shield-Abkommen
Bild: Shutterstock/kenary820
Die Frage, ob Microsoft Daten von europäischen Kunden herausgeben muss, wurde erneut abgelehnt. Das US-Berufungsgericht bestätigte das Urteil vom Juli 2016. Aber was bedeutet die Entscheidung für das Privacy Shield Abkommen? Und wie wirkt sich Trumps Politik auf europäische Datenschutzabkommen aus?
US-Behörden dürfen nicht auf personenbezogene Daten von EU-Servern zugreifen
Das Berufungsgericht (US Court of Appeals for the 2nd Circuit) hatte auf Antrag der Staatsanwaltschaft die Überprüfung eines Urteils desselben Gerichts aus Juli 2016 vergangene Woche abgelehnt. Es ging um die Frage, ob es US-Strafverfolgungsbehörden erlaubt ist, von Microsoft auch die Herausgabe von Daten zu verlangen, die nicht auf US-Servern, sondern auf Servern innerhalb der EU (in Irland) liegen. Das Berufungsgericht hatte dies im Juli 2016 abgelehnt, da das maßgebliche Gesetz keine Regelung dahingehend enthalte, dass es auch außerhalb des Gebietes der USA zur Anwendung kommen soll. Die US-Behörden dürfen daher auch nach dieser neuen Entscheidung nicht auf personenbezogene Daten von EU-Servern zugreifen, auch wenn diese von US-Tochterunternehmen betrieben werden.
Welche Rechtssicherheit besteht für deutsche Unternehmen?
Ist nun auch die Inanspruchnahme von Cloud-Diensten von US-Providern wie Google, Amazon, Salesforce und Microsoft zulässig, wenn ausschließlich EU-Server verwendet werden? Besteht nun diesbezüglich Rechtssicherheit?
Leider nein. Denn erstens ist mit hoher Wahrscheinlichkeit davon auszugehen, dass diese Entscheidung von der US-Regierung vor den Obersten Gerichtshof gebracht wird. Dort sorgt Donald Trump gerade dafür, dass er gleichgesinnte Richter platzieren kann. Die Entscheidung des Supreme Court dürfte daher anders ausfallen. Zweitens hat Trump angekündigt, den Zugriff auf Daten von Technologieunternehmen gesetzlich verschärfen zu wollen. Erst vor einigen Tagen hat er einen Erlass zur „Verbesserung der Inneren Sicherheit“ unterzeichnet, mit dem der Geltungsbereich des sog. „Privacy Act“ (das dortige Datenschutzgesetz) deutlich eingeschränkt wird, indem Nicht-US-Bürger vom Gesetzesumfang ausdrücklich ausgenommen werden. Zwar betrifft dies zunächst nur die Datenverarbeitung von US-Bürgern durch US-Behörden. Allerdings fußt der Privacy-Shield auf dem Vertrauen der EU-Kommission, dass die US-Regierung den Daten von EU-Bürgern einen besonderen Schutz zukommen lässt. Dies scheint nun nicht mehr zu gelten. Damit dürfte dann auch mittelfristig der US-EU-Privacy-Shield fallen, da die EU-Kommission angekündigt hat, bei einer eigenmächtigen Änderung der US-Zusagen die Angemessenheitsentscheidung zurückzunehmen.
Privacy-Shield-Abkommen in Gefahr
Die Ereignisse in den USA sind wichtig für alle deutschen Unternehmen, die ihre Daten entweder bereits auf Servern von US-Providern speichern oder mit dem Gedanken spielen, ein solches IT-Outsourcing vorzunehmen. Derzeit können US-Server über das sog. Privacy-Shield verwendet werden, obwohl hiergegen Klagen vor dem EuGH anhängig sind. Deutsche Server von US-Providern unterliegen grundsätzlich der Gefahr des Zugriffs durch US-Behörden; allerdings ist diese Gefahr durch obige Entscheidung des US-Gerichts nun bis zur (wahrscheinlichen) Entscheidung des Supreme Court erst einmal auf Standby.
Die Rechtslage ist heute wackeliger denn je. Sowohl Privacy Shield als auch die Nutzung von deutschen Servern von US-Providern sind in Gefahr, wenn der Supreme Court oder – und dies ist deutlich wahrscheinlicher – Trump Entscheidungen treffen, die eine Überwachung von Daten von EU-Bürgern ermöglichen. Unternehmen, die hier Rechtssicherheit wünschen, sollten sich einen EU-Provider mit Serverstandort innerhalb der EU, bestenfalls Deutschlands, suchen, denn hierdurch bieten Sie den Datenschutzbehörden die geringsten Angriffspunkte.
Außerdem: Neue Gesetzesentwürfe zu IT-Sicherheit und Datenschutz
Das Kabinett hat vorgestern den Entwurf zum Gesetz zur Umsetzung der NIS-Richtlinie (Netzwerk- und Informationssystemsicherheit) beschlossen. Es soll die IT-Sicherheit stärken, wie auch das bereits in 2015 in Kraft getretene IT-Sicherheitsgesetz. Die Richtlinie geht jedoch noch weiter, indem die Zusammenarbeit der Behörden in der EU zum Thema Cybersicherheit gestärkt wird und Mindestanforderungen sowie Meldepflichten vorgeschrieben werden.
Es liegt seit Montag ein neuer, angepasster Entwurf des Umsetzungsgesetzes zur EU-Datenschutz-Grundverordnung vor. Bereits der letzte Entwurf aus November wurde harsch kritisiert. Die Kritik wurde jedoch nur geringfügig beim aktuellen Entwurf berücksichtigt. So könnten etwa Informationspflichten gegenüber Betroffenen weiterhin unterbleiben, wenn „allgemein anerkannte Geschäftszwecke erheblich gefährdet würden“, was den Datenschutz weiter schwächt. Es ist damit weiter mit erheblichem Widerstand zu rechnen.
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG