Datenschutzbeauftagter über Abkommen: „Das Urteil ist notwendig“

Der EuGH hat das europäische Datenschutzabkommen mit den USA gekillt. Was nun, erklärt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg.

Max Schrems

Hat das Verfahren um Privacy Shield gewonnen: Max Schrems Foto: Lisi Niesner/reuters

taz: Herr Brink, der Europäische Gerichtshof (EuGH) hat erneut den Datenfluss in die USA erschwert – weil Sicherheitsbehörden dort exzessiv auf europäische Daten zugreifen können. Betrifft das Urteil auch die deutsche Wirtschaft?

Stefan Brink: Das Urteil fiel zwar im Streit zwischen dem österreichischen Datenschutz-Aktivisten Max Schrems und Facebook, es betrifft aber auch alle deutschen Unternehmen, die Daten in die USA übertragen. Es geht zum Beispiel um Datenspeicherung und Datenverarbeitung in US-Cloud-Anwendungen.

Datenschutzbeauftragter des Landes Baden-Württemberg

Was ist jetzt nicht mehr möglich?

Die Unternehmen können sich nicht mehr auf den „Privacy Shield“ berufen, ein Abkommen der EU-Kommission mit den USA. Der EuGH hat festgestellt, dass die Daten von EU-Bürgern dabei nicht wirkungsvoll vor dem Zugriff von US-Geheimdiensten geschützt werden.

Die meisten Unternehmen haben damit schon gerechnet und nutzen für ihre Verträge zusätzlich Standard-Datenschutzklauseln, die die EU-Kommission zur Verfügung gestellt hat. Sind diese Unternehmen besser dran?

Mittelfristig nicht. Der EuGH hat zwar die Standard-Datenschutzklauseln an sich akzeptiert. Aber eine Anwendung auf den Datentransfer in die USA ist kaum möglich. Denn das US-Unternehmen muss dabei versprechen, dass es keinen Gesetzen unterliegt, die den Datenschutz beeinträchtigen. Das konnten und können die US-Unternehmen nicht versprechen, ohne zu lügen.

Wie finden Sie das EuGH-Urteil?

Es ist richtig und notwendig, dass der EuGH für die Übertragung von europäischen Daten ins Nicht-EU-Ausland ein gleichwertiges Datenschutzniveau fordert. Aber es ist halbherzig, dass der EuGH nicht gesagt hat, dass die Standard-Datenschutzklauseln im Geschäftsverkehr mit den USA nicht sinnvoll angewandt werden können. Diese unangenehme Botschaft hat er den nationalen Datenschutzbeauftragten überlassen.

Wer muss in Deutschland das EuGH-Urteil umsetzen?

Das sind die 16 Landesdatenschutz-Beauftragten, weil sie für den Datenschutz bei privaten Unternehmen zuständig sind.

Also zum Beispiel Sie, Herr Brink. Werden Sie jetzt Daimler und den baden-württembergischen Mittelständlern den Datentransfer in die USA verbieten?

Ich werde keine Alleingänge machen. Die europäischen Aufsichtsbehörden werden sich im Europäischen Datenschutz-Ausschuss auf eine gemeinsame Linie einigen.

Könnte die gemeinsame Linie so aussehen, dass alle erst einmal auf die EU-Kommission warten, die neue Verhandlungen mit den USA angekündigt hat?

Das ist eine Option. Allerdings habe ich wenig Hoffnung, dass die EU-Kommission beim nächsten Abkommen bessere Bedingungen aushandeln kann. Die USA wollen an ihren Überwachungsprogrammen festhalten und den EU-Bürgern keine Rechte geben, sich dagegen zu wehren.

Die EU-Kommission hat auch eine Modernisierung der Standard-Datenschutzklauseln angekündigt. Ist das sinnvoll?

Ja. Derzeit sind die Klauseln sehr abstrakt. Man könnte und sollte die Datenschutz-Anforderungen beim internationalen Datentransfer viel konkreter benennen. Damit wäre allerdings das Problem mit den US-Geheimdiensten in keiner Weise gelöst.

Sind differenzierte Lösungen möglich, je nach Art des Datentransfers?

Ich hoffe es. So könnte bei der Speicherung von Daten in einer US-Cloud eine strenge Verschlüsselung vorgeschrieben werden. Die ist aber nicht möglich, wenn die Daten von den US-Unternehmen auch verarbeitet werden sollen. Das gilt schon für ein einfaches Textverarbeitungsprogramm in der Cloud.

Datenverarbeitung in den USA müssten Sie demnach verbieten?

Die deutschen Datenschutzbehörden waren immer konstruktiv. Wir haben nie etwas verboten, ohne Lösungswege aufzuzeigen.

Gibt es europäische Alternativen?

Bei bloßen Datenbanken gibt es Alternativen in der EU. Bei der Datenverarbeitung sehe ich das nur sehr begrenzt.

US-Firmen könnten Ihre Cloud-Angebote ja in europäischen Rechenzentren hosten?

Das haben sie auch versucht. Doch dann wurde in den USA 2018 der Cloud Act beschlossen. Seitdem sind US-Unternehmen auch dann verpflichtet, mit den US-Sicherheitsbehörden zu kooperieren, wenn die Datenspeicherung und -verarbeitung ganz außerhalb der USA stattfinden.

Wie haben die US-Unternehmen reagiert?

Microsoft hat zum Beispiel ein Joint Venture mit der Deutschen Telekom gegründet, um sich dem Zugriff der US-Behörden zu entziehen. Allerdings konnte sich dieses Gemeinschaftsunternehmen am Markt nicht durchsetzen. Mehr Datenschutz ist eben manchmal teurer.

Das könnte jetzt ja anders aussehen, wenn der Datentransfer in die USA kaum noch möglich ist. Ist das EuGH-Urteil nicht eine große Chance für europäische Unternehmen?

Das ist eine gefährliche Argumentation. Die USA werfen Europa schon lange vor, man habe die Digitalisierung verschlafen und versuche nun, mit Hilfe des Datenschutzes die innovativen US-Unternehmen auszubooten.

Stimmt das?

Natürlich nicht. Uns geht es wirklich um den Datenschutz. Und wenn der zum Wettbewerbsvorteil wird – um so besser.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben