taz.de

       # taz.de -- Datenschutzbeauftagter über Abkommen: „Das Urteil ist notwendig“
       
       > Der EuGH hat das europäische Datenschutzabkommen mit den USA gekillt. Was
       > nun, erklärt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg.
       
 (IMG) Bild: Hat das Verfahren um Privacy Shield gewonnen: Max Schrems
       
       taz: Herr Brink, der Europäische Gerichtshof (EuGH) hat erneut den
       Datenfluss in die USA [1][erschwert] – weil Sicherheitsbehörden dort
       exzessiv auf europäische Daten zugreifen können. Betrifft das Urteil auch
       die deutsche Wirtschaft? 
       
       Stefan Brink: Das [2][Urteil] fiel zwar im Streit zwischen dem
       österreichischen Datenschutz-Aktivisten Max Schrems und Facebook, es
       betrifft aber auch alle deutschen Unternehmen, die Daten in die USA
       übertragen. Es geht zum Beispiel um Datenspeicherung und Datenverarbeitung
       in US-Cloud-Anwendungen.
       
       Was ist jetzt nicht mehr möglich? 
       
       Die Unternehmen können sich nicht mehr auf den „Privacy Shield“ berufen,
       ein Abkommen der EU-Kommission mit den USA. Der EuGH hat festgestellt, dass
       die Daten von EU-Bürgern dabei nicht wirkungsvoll vor dem [3][Zugriff von
       US-Geheimdiensten] geschützt werden.
       
       Die meisten Unternehmen haben damit schon gerechnet und nutzen für ihre
       Verträge zusätzlich Standard-Datenschutzklauseln, die die EU-Kommission zur
       Verfügung gestellt hat. Sind diese Unternehmen besser dran? 
       
       Mittelfristig nicht. Der EuGH hat zwar die Standard-Datenschutzklauseln an
       sich akzeptiert. Aber eine Anwendung auf den Datentransfer in die USA ist
       kaum möglich. Denn das US-Unternehmen muss dabei versprechen, dass es
       keinen Gesetzen unterliegt, die den Datenschutz beeinträchtigen. Das
       konnten und können die US-Unternehmen nicht versprechen, ohne zu lügen.
       
       Wie finden Sie das EuGH-Urteil? 
       
       Es ist richtig und notwendig, dass der EuGH für die Übertragung von
       europäischen Daten ins Nicht-EU-Ausland ein gleichwertiges
       Datenschutzniveau fordert. Aber es ist halbherzig, dass der EuGH nicht
       gesagt hat, dass die Standard-Datenschutzklauseln im Geschäftsverkehr mit
       den USA nicht sinnvoll angewandt werden können. Diese unangenehme Botschaft
       hat er den nationalen Datenschutzbeauftragten überlassen.
       
       Wer muss in Deutschland das EuGH-Urteil umsetzen? 
       
       Das sind die 16 Landesdatenschutz-Beauftragten, weil sie für den
       Datenschutz bei privaten Unternehmen zuständig sind.
       
       Also zum Beispiel Sie, Herr Brink. Werden Sie jetzt Daimler und den
       baden-württembergischen Mittelständlern den Datentransfer in die USA
       verbieten? 
       
       Ich werde keine Alleingänge machen. Die europäischen Aufsichtsbehörden
       werden sich im Europäischen Datenschutz-Ausschuss auf eine gemeinsame Linie
       einigen.
       
       Könnte die gemeinsame Linie so aussehen, dass alle erst einmal auf die
       EU-Kommission warten, die neue Verhandlungen mit den USA angekündigt hat? 
       
       Das ist eine Option. Allerdings habe ich wenig Hoffnung, dass die
       EU-Kommission beim nächsten Abkommen bessere Bedingungen aushandeln kann.
       Die USA wollen an ihren Überwachungsprogrammen festhalten und den
       EU-Bürgern keine Rechte geben, sich dagegen zu wehren.
       
       Die EU-Kommission hat auch eine Modernisierung der
       Standard-Datenschutzklauseln angekündigt. Ist das sinnvoll? 
       
       Ja. Derzeit sind die Klauseln sehr abstrakt. Man könnte und sollte die
       Datenschutz-Anforderungen beim internationalen Datentransfer viel konkreter
       benennen. Damit wäre allerdings das Problem mit den US-Geheimdiensten in
       keiner Weise gelöst.
       
       Sind differenzierte Lösungen möglich, je nach Art des Datentransfers? 
       
       Ich hoffe es. So könnte bei der Speicherung von Daten in einer US-Cloud
       eine strenge Verschlüsselung vorgeschrieben werden. Die ist aber nicht
       möglich, wenn die Daten von den US-Unternehmen auch verarbeitet werden
       sollen. Das gilt schon für ein einfaches Textverarbeitungsprogramm in der
       Cloud.
       
       Datenverarbeitung in den USA müssten Sie demnach verbieten? 
       
       Die deutschen Datenschutzbehörden waren immer konstruktiv. Wir haben nie
       etwas verboten, ohne Lösungswege aufzuzeigen.
       
       Gibt es europäische Alternativen? 
       
       Bei bloßen Datenbanken gibt es Alternativen in der EU. Bei der
       Datenverarbeitung sehe ich das nur sehr begrenzt.
       
       US-Firmen könnten Ihre Cloud-Angebote ja in europäischen Rechenzentren
       hosten? 
       
       Das haben sie auch versucht. Doch dann wurde in den USA 2018 der Cloud Act
       beschlossen. Seitdem sind US-Unternehmen auch dann verpflichtet, mit den
       US-Sicherheitsbehörden zu kooperieren, wenn die Datenspeicherung und
       -verarbeitung ganz außerhalb der USA stattfinden.
       
       Wie haben die US-Unternehmen reagiert? 
       
       Microsoft hat zum Beispiel ein Joint Venture mit der Deutschen Telekom
       gegründet, um sich dem Zugriff der US-Behörden zu entziehen. Allerdings
       konnte sich dieses Gemeinschaftsunternehmen am Markt nicht durchsetzen.
       Mehr Datenschutz ist eben manchmal teurer.
       
       Das könnte jetzt ja anders aussehen, wenn der Datentransfer in die USA kaum
       noch möglich ist. Ist das EuGH-Urteil nicht eine große Chance für
       europäische Unternehmen? 
       
       Das ist eine gefährliche Argumentation. Die USA werfen Europa schon lange
       vor, man habe die Digitalisierung verschlafen und versuche nun, mit Hilfe
       des Datenschutzes die innovativen US-Unternehmen auszubooten.
       
       Stimmt das? 
       
       Natürlich nicht. Uns geht es wirklich um den Datenschutz. Und wenn der zum
       Wettbewerbsvorteil wird – um so besser.
       
       28 Jul 2020
       
       ## LINKS
       
 (DIR) [1] /Urteil-zu-Datenabkommen-zwischen-USA-und-EU/!5695136
 (DIR) [2] /Datenschutzabkommen-zwischen-EU-und-USA/!5695158
 (DIR) [3] /Kommentar-Datenschutz-EU-und-USA/!5375709
       
       ## AUTOREN
       
 (DIR) Christian Rath
       
       ## TAGS
       
 (DIR) EuGH
 (DIR) Datenschutz
 (DIR) USA
 (DIR) Datenschutz
 (DIR) Schwerpunkt Coronavirus
 (DIR) USA
 (DIR) Schwerpunkt Meta
 (DIR) Schwerpunkt Meta
 (DIR) Schwerpunkt Meta
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Datenschützer über US-Datentransfers: „Sie können jeden nachverfolgen“
       
       Auch nach dem EuGH-Urteil zum Datenschutz liefern Internetkonzerne weiter
       Nutzer-Informationen in die USA. Alan Dahi hat ihnen den Kampf angesagt.
       
 (DIR) Datenschutz bei Corona-Maßnahme: Groko will kein Gästelistengesetz
       
       Wer im Restaurant isst, muss wegen Corona seine Kontaktdaten hinterlegen.
       Darf die Polizei sie nutzen? Die Bundesregierung will dazu keine klaren
       Regeln.
       
 (DIR) Tech-Unternehmen im US-Kongress: Alles nur Show?
       
       Die Chefs von Amazon, Google, Facebook und Apple haben sich am Mittwoch vor
       dem US-Kongress gerechtfertigt. In Bedrängnis kamen sie dabei nicht.
       
 (DIR) Datenschutzabkommen zwischen EU und USA: EuGH kippt Privacy Shield
       
       Die Datenübertragung in die USA wird für Unternehmen in Zukunft
       schwieriger. Es ist ein Erfolg für den Datenschutzaktivisten Max Schrems.
       
 (DIR) EuGH-Urteil zu „Privacy Shield“: Aus für EU-Datenschutzabkommen
       
       Der europäische Gerichtshof kippt erneut einen Beschluss zum Transfer von
       Daten von EU-Bürger_innen in die USA. Das könnte weitreichende Folgen
       haben.
       
 (DIR) Rechte von Internet-Nutzer:innen in der EU: Entscheidung über Datenweitergabe
       
       Der Europäische Gerichtshof entscheidet am Donnerstag, wann Daten von
       EU-Nutzer:innen exportiert werden dürfen. Die wichtigsten Fragen und
       Antworten.