Verpasste Chance für transatlantischen Datenschutz auf Augenhöhe

Das neue Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten sorgt derzeit für viel Diskussion. Nachdem das frühere Abkommen, das „Privacy Shield“, für den Datentransfer zwischen beiden Seiten aufgehoben wurde, hat die EU-Kommission nun ein neues Abkommen eingeführt, um einen angemessenen Schutz personenbezogener Daten sicherzustellen – doch Expert:innen gehen davon aus, dass auch der neue Entwurf vor dem europäischen Gerichtshof nicht bestehen wird.

Unser CEO Ari Albertini erklärt im Interview, warum das „Privacy Shield“ aufgehoben wurde, welche Änderungen im neuen Framework enthalten sind und warum auch er Bedenken an dem neuen Abkommen hat. 

FTAPI: Ursula von der Leyen und Joe Biden haben sich zum Thema Datenschutz geeinigt: Das neue Trans-Atlantic Data Privacy Framework soll dafür sorgen, dass Daten auch dann geschützt sind, wenn sie über die Europäischen Grenzen hinweg ausgetauscht werden – das ist doch gut, oder nicht?

Ari Albertini: Grundsätzlich ist es natürlich begrüßenswert, dass die EU und die USA gemeinsam über das Thema Datenschutz sprechen. Doch nachdem Ursula von der Leyen und Joe Biden bereits nach 30 Minuten eine vermeintliche Lösung präsentiert haben, war schnell klar, dass hier nicht wirklich viel Neues zu erwarten war. Und diese Befürchtung hat sich auch bestätigt.

FTAPI: Kannst du das etwas genauer erklären? Was genau hat sich geändert? 

Ari Albertini: Im Prinzip ist das neue Framework eine Erneuerung des EU-US-Privacy Shields. Ziel ist es, laut Angaben der EU-Kommission, ein angemessenes Schutzniveau für personenbezogene Daten zu bieten, die die EU verlassen und an amerikanische Unternehmen übermittelt werden. 

Das Problem ist allerdings, dass der EuGH das Privacy Shield schon im Juli 2020 für ungültig erklärt hat, weil die Daten nicht gemäß den EU-Standards geschützt wurden. So konnten US-Geheimdienste beispielweise mit wenigen rechtlichen Hürden auf Daten zugreifen. Der undurchsichtige rechtliche Rahmen, der durch das Privacy Shield geschaffen wurde, führte zu einer großen Rechtsunsicherheit bei Unternehmen. Nach einer Klage von Max Schrems, einem österreichischen Juristen und Datenschutz-Aktivisten, wurde das Privacy Shield dann für ungültig erklärt. 

Im Trans-Atlantic Data Privacy Framework wurden jetzt im Prinzip nur zwei Dinge geändert: 

  • Zum einen dürfen US-Geheimdienste nur noch dann auf die Daten zugreifen, wenn dies notwendig und angemessen ist.
  • Und zum anderen soll ein neues Rechtsorgan, der „Data Protection Review Court“, dafür sorgen, dass Beschwerden von EU-Bürgern über einen unrechtmäßigen Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden.

FTAPI: Das klingt aber doch erstmal gut – oder nicht?

Ari Albertini: Das Problem ist – und da ist sich die Sicherheits-Community einig – dass beide Änderungen im Grunde nichtig sind. Warum? 

Die USA versteht unter dem Begriff „angemessen“ etwas anderes als die europäische Rechtsprechung. Wann also ist es angemessen, auf Daten zuzugreifen, und wann nicht? Dazu wurden im neuen Datenschutzrahmen bisher keine Aussagen getroffen. 

Darüber hinaus stellt die Verletzung der Privatsphäre von Nicht-US-Bürgern für die USA weiterhin kein Problem dar – zumindest nicht, solange das  FISA 702, also das Gesetz zur Überwachung in der Auslandsaufklärung (Foreign Intelligence Surveillance Act), noch in Kraft ist. 

FTAPI: Also im Grunde hat sich nichts geändert – warum kann das neue Gesetz trotzdem problematisch sein? 

Ari Albertini: Aus meiner Sicht ist die aktuelle Diskussion um den EU-US-Datentransfer aus zwei Gründen problematisch. 

Zum einen hat es die Politik erneut versäumt, dieses wichtige Thema ordentlich anzugehen. Dass Ursula von der Leyen und Joe Biden dieses Thema, über das Expert:innen aus Cybersicherheit, Datenschutz und Rechtswissenschaft schon seit Jahren diskutieren, nicht an einem Nachmittag klären, war klar. Trotzdem hat man sich von den Gesprächen mehr erwartet als eine Neuauflage von zwei bereits gescheiterten Gesetzen. In meinen Augen war das erneut eine verpasste Chance für einen transatlantischen Datenschutz auf Augenhöhe. 

Auf der anderen Seite befürchte ich, dass sich Unternehmen, aber auch Privatpersonen durch diese Schein-Reform jetzt in falscher Sicherheit wiegen. Doch genau wie schon Privacy Shield und Safe Harbor davor bietet auch das neue Framework keine wirkliche Rechtssicherheit für europäische Unternehmen, die Daten gemäß der EU-DSGVO schützen müssen. 

FTAPI: Was also sollten Unternehmen deiner Meinung nach tun? 

Ari Albertini: Mit Blick auf den Datenschutz und die Datensicherheit empfehle ich Unternehmen, Behörden und Organisationen, auf Lösungen und Anbieter aus der EU zu vertrauen, die Daten und Backups nur in Europa speichern. Darüber hinaus gibt es weitere Kriterien, die Aufschluss darüber geben, ob Anbieter den hohen Ansprüchen an den Datenschutz entsprechen, die unter anderem durch die DSGVO gefordert werden. 

Die Sicherheit von Daten sollte gerade im Software-Umfeld immer an erster Stelle stehen. Meine Empfehlung an Unternehmen: Vertraut auf Unternehmen, die Sicherheit nicht nur versprechen, sondern auch nachweisen können. Verfügt der Anbieter beispielsweise über Zertifikate wie ISO 27001 oder andere Testate? Entspricht die Software den Empfehlungen des BSI? Wird die Software regelmäßig durch Dritte überprüft? Derartige Zertifikate und Prüfberichte bieten gute Anhaltspunkte bei der Suche nach einem vertrauenswürdigen Partner. 

In meinen Augen haben Unternehmen aktuell nur dann wirkliche Rechtssicherheit, wenn personenbezogene, sensible Daten den europäischen Raum nicht verlassen. Zumindest so lange, bis es ein neues Gesetz zum EU-US-Datentransfer gibt, das nicht gleich wieder vom Europäischen Gerichtshof für ungültig erklärt wird.

FTAPI: Vielen Dank für deine Einschätzung und die wertvollen Insights!