Das TADPF wird keine Lösung bringen Der Atlantik als Data Lake bleibt rau

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

INFOMOTION GmbH

Insider Research

Vor dem 6. Oktober 2015 war der transatlantische Datenaustausch einfach: „Safe Harbor” hatte den Weg möglich gemacht. US-Unternehmen konnten personenbezogenen Daten einen sicheren Hafen bieten und damit nach Ansicht der EU-Kommission europäische Schutzanforderungen erfüllen.

„Safe Harbor“ war ein Handelsabkommen mit den USA, dass zwar nicht zu einem allgemein gleich hohen Datenschutzniveau wie in der EU führte, aber es einzelnen Unternehmen in den USA erlaubte, bei Umsetzung gewisser Datenschutzmaßnahmen in eigener Verantwortung sich auf ein ausreichendes Datenschutzniveau im Unternehmen zu berufen: Personenbezogene Daten konnten mit diesem Unternehmen zwischen der EU und den USA ausgetauscht werden.

Das Datenschutzniveau ist für den legalen Weg personenbezogener Daten in die USA – wie aber auch in andere Länder außerhalb des EWR – entscheidend: Legal ist der Transfer nur, wenn entweder die EU-Kommission ein, mit der EU vergleichbaren Datenschutzstandard in den USA anerkannt hat, es zumindest ein teilweises Anerkenntnis gibt („Safe Harbor“, „Privacy Shield“ oder bald vielleicht TADPF) oder mit sog. Standardklauseln bilateral zwischen Unternehmen ein solcher Schutzstandard vereinbart und umgesetzt wurde.

Der Datenschutz war zumindest bisher in den USA anders konzipiert als in der EU. Das Menschenrecht auf informationelle Selbstbestimmung ist in der EU-Grundrechtecharta verankert. Der Einzelne soll wissen und auch darauf Einfluss nehmen können, was mit seinen personenbezogenen Daten passiert. In den USA gab es bislang Datenschutz nur im Rahmen von Geschäftsgeheimnissen: Daten waren als Eigentum von „Big Data“ geschützt, was zumindest auch einen abgeleiteten, individuellen Schutz bedeutet. Der ist aber mit dem EU-Schutzniveau keinesfalls vergleichbar.

Der Hafen ist nicht mehr sicher

„Safe Harbor“ war ein Katalog von technischen und organisatorischen Maßnahmen, der vom US-Handelsministerium für Unternehmen in den USA entwickelt wurde. Die EU-Kommission hatte diesen Maßnahmenkatalog im Jahr 2000 als angemessenes Datenschutzniveau erachtet. Als sicher galt jedes Unternehmen in den USA, das sich in einem Selbstzertifizierungsverfahren verpflichtet hatte, die in „Safe Harbor“ aufgeführten technischen und organisatorischen Maßnahmen einzuhalten.

Der EuGH erklärte die Anerkennung von „Safe Harbor“ durch die EU-Kommission mit seiner gleichlautenden Entscheidung vom 6. Oktober 2015 für unwirksam. Die Europäische Kommission habe bei ihrer Entscheidung nicht hinreichend geprüft, ob von den US-Behörden, insbesondere der National Security Agency (NSA), nach den innerstaatlichen Rechtsvorschriften und den internationalen Verpflichtungen der USA, die Selbstverpflichtung der Unternehmen zum Datenschutz respektiert werde. Zudem gab es noch weitere Kritik an diesem System, was im Wesentlichen nur eine Selbstverpflichtung war und von vielen US-Unternehmen als Absichtserklärung missverstanden wurde.

Auslöser der EuGH-Entscheidung war der Datenschutzaktivist Max Schrems. Eine Art Privatfehde mit „Facebook“ (heute Meta) führte zu einer Beschwerde über den Umgang dieses Unternehmens mit personenbezogenen Daten aus der EU in den USA bei der irischen Datenschutz-Aufsichtsbehörde und bei deren Untätigkeit dann zum EuGH. Der EuGH befasste sich weniger mit den Unzulänglichkeiten von „Safe Harbor“ bei der Umsetzung von Datenschutz im Unternehmen, weitaus gravierender war für das Gericht jedoch die Haltung der nationalen Behörden in den USA zu personenbezogenen Daten.

Während in Deutschland Datenschutz als Grundfreiheit gegenüber dem Staat postuliert wurde, gilt dies in den USA nicht so, insbesondere für Ausländer. Behörden können Daten frei nutzen und haben auch – wie etwa die Geheimdienste – freien Zugriff auf Datenbestände. Über Zugriff und auch Nutzung dieser Daten sind sie niemandem Rechenschaft schuldig und es gibt auch für Ausländer kein Rechtsmittel gegen diese Eingriffe. Dies haben etwa die Enthüllungen des Eduard Snowden 2013 bestätigt. Grund für diesen reduzierten Rechtsschutz ist die antiquierte US-Verfassung von 1787. Sie kennt in Bezug auf Justizgrundrechte im Wesentlichen nur Bürger – aber keine allgemeinen Menschenrechte.

Definition: Der Privacy-Shield-Nachfolger Trans-Atlantic Data Privacy Framework

Was ist das TADAP-Framework?

Ein Schutzschild, der keiner mehr ist

Im Juli 2016 steht dann das Nachfolgemodell, das „EU US Privacy Shield“. Auch dieses Modell wird mit einem Angemessenheitsbeschluss der EU-Kommission versehen. Die Vereinbarungen zum „Privacy Shield“ enthielten Verschärfungen und begleitende Verwaltungsmaßnahmen von US-Behörden wie auch eine Überprüfungsmöglichkeit der Umsetzung von Datenschutzregeln in den Unternehmen. „Privacy Shield“ gilt „Safe Harbor Plus“ und wird wieder angegriffen, ebenfalls unter Beteiligung von Max Schrems.

Erneut spielt die Möglichkeit der US-Sicherheitsbehörden, auf personenbezogene Daten von EU-Bürgern zuzugreifen, eine zentrale Rolle beim EuGH. Weder die Selbstzertifizierung nach dem neuen „Privacy Shield“, noch die Selbstverpflichtung gegenüber dem Datenexporteur durch Standardvertragsklauseln befreien Datenimporteure in den USA von Zugriffen durch NSA, CIA und FBI. EU-Bürger haben auch weiterhin keinen unmittelbaren Rechtsschutz in den USA. Zwar ist eine Ombudsperson für Datenschutzbeschwerden von EU-Bürgern vorgesehen, einem Recht auf einen wirksamen Rechtsbehelf an ein unparteiisches Gericht entspricht dies jedoch nicht. Insbesondere das zentrale Fourth Amendment der US-Verfassung, das den US-Bürgern Schutz vor illegaler Überwachung garantiert, steht Unionsbürgern nicht zu.

Wieder schlägt der EuGH zu. Am 16. Juli 2020 ist auch die Anerkennung des „Privacy Shields“ durch die EU-Kommission Geschichte. Der EuGH belässt allerdings die Option der Schutzniveausicherung durch Standardvertragsklauseln – wenn vorher geprüft wird, ob ein US-Unternehmen sich gegen staatliche Eingriffe ausreichend wehren kann (Datentransfer-Folgenabschätzung).

Jetzt muss es TADPF richten

Aber US-Behörden und die EU-Kommission lassen nicht ab. Erneut werden die Argumente des EuGH in die Hand genommen und wieder eine Nachfolgeregelung versucht. Das „Trans-Atlantic Data Privacy Framework“, kurz TADPF-Projekt, wurde schon im März 2022 stolz verkündet, aber nur wenige Einzelheiten preisgegeben.

TADPF baut auf den Vorversionen auf, wobei verbindliche Zusagen von US-Behörden zu wirksamen Einschränkungen beim Zugriff von US-Geheimdiensten führen und ein „Data Protection Review Court“ Europäern den notwendigen Rechtsschutz geben sollen. Es ist geplant, US-Unternehmen noch strengeren Kontrollen ihrer Selbstverpflichtung zu unterwerfen. Wirklich grundlegende Verbesserungen sind das aber nicht.

Hoffnung kommt aber an anderer Stelle auf: Das Konzept des Datenschutzes ändert sich nun auch in den USA. Schon das Dateneigentum von „Big Data“ war durch Vorgaben des Verbraucherschutzes beschränkt. Angefangen mit Kalifornien werden nun in mehr und mehr US-Staaten Datenschutzgesetze nach EU-Verständnis etabliert. Die US-Bundesstaaten Virginia, Nevada, Colorado, Connecticut und Utah haben nun ebenfalls ein eigenes Datenschutzrecht.

Es wird kolportiert, dass sich die EU-Kommission diese Entwicklung sehr genau ansieht und möglicherweise einen US-Bundesstaat als datenschutzrechtlich adäquat anerkennen wird. Dieser Teil der USA könnte dann als Standort für „Big Data“ attraktiv werden. Hoffnungen in eine Änderung der US-Verfassung und damit auch dem US-Bundesrecht kann es erst geben, wenn die erbitterten Auseinandersetzungen zwischen Republikanern und Demokraten beigelegt sind.

Umgang mit personenbezogenen Daten

Privacy Shield 2.0: Erhebliche Zweifel

(ID:49533609)