IT-Sicherheit

Sicherer Datenaustausch zwischen der EU und den USA: Eine unendliche Geschichte und warum „Made in Germany“ eine Lösung bietet

  • Lisa Fröhlich
  • Oktober 31, 2022
Sicherer Datenaustausch zwischen der EU und den USA: Eine unendliche Geschichte und warum „Made in Germany“ eine Lösung bietet

Im März 2022 haben die europäische Union und die Vereinigten Staaten den Nachfolger für das Privacy-Shield-Abkommen vorgestellt: das Trans-Atlantic Data Privacy Framework. Das neue Abkommen, das auch als „Privacy Shield 2.0“ bezeichnet wird, soll den freien und sicheren Datenaustausch zwischen der EU und den USA gewährleisten.

Mit dem am 7. Oktober 2022 unterzeichneten Erlass, der Executive Order, hat der US-amerikanische Präsident Joe Biden einen langersehnten Schritt in Richtung einer neuen Lösung gemacht. Denn seit mehr als zwei Jahren steht der Datenaustausch über den Atlantik auf einem wackeligen Fundament und der dringend benötigte neue Rechtsrahmen für die Übermittlung von Daten fehlt bisher.

Ist ein kleiner Schritt in den USA auch ein großer Schritt für mehr Rechtssicherheit beim Datentransfer?

Politik und Wirtschaft sowie Datenschützer wünschen sich einen freien und vor allem sicheren Datentransfer und den dazugehörigen Rechtsrahmen. Dennoch ist Bidens Erlass, seine Durchführungsverordnung, nur einer von vielen noch notwendigen Schritten. Denn auf Basis dieses Dekrets muss die EU-Kommission erneut eine sogenannte Angemessenheitsentscheidung  treffen.

Mit dieser auf Artikel 45 der Datenschutz-Grundverordnung (DSGVO) basierenden Entscheidung wird festgestellt, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Die EU-Kommission darf diesen Beschluss jedoch nicht allein treffen, sondern muss den Europäischen Datenschutzausschuss (EDSA) und die europäischen Mitgliedstaaten hinzuziehen.

Bei der Prüfung der Angemessenheit des Datenschutzniveaus stehen besonders Rechtsstaatlichkeit sowie die Anwendungen der Rechts- und Datenschutzvorschriften im jeweiligen Drittland im Fokus. Und genau hier liegt das Problem. Denn ob ein sinnvolles Datenschutzabkommen mit den USA möglich ist, ist fraglich.

Mit Blick in die Vergangenheit – hat das Privacy Shield 2.0 eine Chance oder ist es bereits zum Scheitern verurteilt?

US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act ermöglichen eine Massenüberwachung durch Sicherheitsbehörden wie die NSA und der USA Patriot Act erlaubt dem FBI oder der CIA, Zugriff auf Server von US-Unternehmen und deren Tochterfirmen.

Zwar gab es zwischen den Jahren 2000 und 2015 das Safe-Harbor-Abkommen, ein Beschluss der EU-Kommission, der den Datenschutz in den USA unter den Safe-Harbor-Bedingungen als adäquat zu den europäischen Regelungen ansah. Gleichzeitig stand das Abkommen aufgrund der mangelnden Rechtsgrundlage und den oben genannten US-Gesetzen häufig in der Kritik. Zudem war die Safe-Harbor-Vereinbarung eine freiwillige Verpflichtung.

Das Ende eines sicheren Hafens

Spätestens mit den Enthüllungen Edward Snowdens im Sommer 2013 wurde sehr deutlich, dass der Datenschutzstandard in den Vereinigten Staaten nicht dem der EU entspricht. Die Klage des österreichischen Datenschützers Max Schrems und das darauffolgende Schrems-I-Urteil gegen Facebook ebnete den Weg für das Ende des Safe-Harbor-Abkommens im Oktober 2015.

Der europäische Gerichtshof (EuGH) urteilte, dass personenbezogene Daten grundsätzlich nicht an die USA übermittelt werden dürfen, da es keinen ausreichenden Schutz für diese Daten auf US-amerikanischen Servern gibt, womit die Safe-Harbor-Vereinbarung für ungültig erklärt wurde.

Auch das EU-US Privacy Shield fällt

Um die Rechtssicherheit für den regen Datenaustausch zwischen den USA und der EU wieder herzustellen, trat 2016 das EU-US Privacy Shield in Kraft. Der hastig von der EU-Kommission geschaffene Nachfolger des Safe-Harbor-Abkommens ist ebenfalls lediglich eine Absprache. Auf deren Basis US-Unternehmen eine Selbstverpflichtung eingehen, dass sie DSGVO-konform mit den Daten der EU-Bürger umgehen.

Zudem wurde eine unabhängige Beschwerde- bzw. Schlichtungsstelle (Ombudsstelle) im US-Außenministerium eingerichtet, um aufkommende Beschwerden aus Europa zu bearbeiten.

Wie die Safe-Harbor-Vereinbarung wurde das Privacy Shield von Beginn an von Datenschützern und NGOs heftig kritisiert. Obwohl die Anforderungen an den Datenschutz verschärft wurden, hatten US-Behörden weiterhin umfangreichen Zugriff auf die gespeicherten Daten von EU-Bürgern und auch Maßnahmen der Massenüberwachung waren immer noch zulässig.

Wieder war es der österreichische Jurist und Datenschutzaktivist Max Schrems, der das Privacy Shield im Sommer 2020 endgültig zu Fall brachte. Im sogenannten Schrems-II-Urteil wurde das Abkommen über den Transfer persönlicher Daten von Europäern in die USA für unrechtmäßig erklärt.

Der EuGH hat sich in seinem Urteil insbesondere auf die Überwachungsprogramme US-amerikanischer Geheimdienste bezogen. Dadurch wird nicht nur deutlich, dass das Datenschutzniveau in den USA nicht gleichwertig mit dem in der EU ist, sondern dass ein dringender Handlungsbedarf besteht.

Schafft das Privacy Shield 2.0 die notwendige Rechtssicherheit?

Seit dem Ende des Privacy Shields im Juli 2020 dürfen personenbezogene Daten von EU-Nutzern nicht mehr ohne Weiteres in den USA gespeichert werden. Das hat vor allem für die Nutzung von Cloud-Diensten erhebliche Folgen, denn der überwiegende Teil der Server steht in den USA. Dort dürfen die europäischen Daten nur sehr eingeschränkt gespeichert werden.

Oftmals berufen sich die beteiligten Unternehmen auf die sogenannten Standarddatenschutzklauseln. Diese sind zwar zulässig, gleichzeitig bieten sie mitnichten ein mit der EU vergleichbares Datenschutzniveau. Zwar müssen die Informationen im Rahmen dieser Standardklauseln verschlüsselt übertragen werden.

Da die US-amerikanischen Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Cloud Act oder der USA Patriot Act weiterhin ihre Gültigkeit haben, ist das geforderte Datenschutzniveau in den USA jedoch nicht im erforderlichen Maße umsetzbar.

Diesen Missstand und die fehlende Rechtssicherheit wollen die EU und die USA mit dem Trans-Atlantic Data Privacy Framework, also dem Privacy Shield 2.0 beheben.

Was kann das Trans-Atlantic Data Privacy Framework?

Zu den im März 2022 veröffentlichten ersten Grundprinzipien des neuen Abkommens, dem Trans-Atlantic Data Privacy Framework oder dem Privacy Shield 2.0, gehören folgende Punkte:

  • Ein neues Regelwerk und verbindliche Schutzmaßnahmen, die den Zugriff der Nachrichtendienste einschränken
  • Ein zweistufiges Rechtsbehelfssystem, dass den unabhängigen Umgang mit Beschwerden von EU-Bürgern mithilfe eines „Data Protection Review Court“ gewährleisten soll
  • Strengere Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten
  • Spezifische Überwachungs- und Überprüfungsmechanismen

Wackeliges Fundament – Datenschützer Max Schrems kritisiert bereits Bidens Erlass

Während die USA in ihrem dazugehörigen offiziellen Statement von „beispiellosen Verpflichtungen“ sprechen, sind viele Datenschutzorganisationen und Max Schrems ganz anderer Meinung. In der ersten Stellungnahme zu Bidens Exekutivanordnung kritisiert Schrems, dass die USA weiterhin ihre Massenüberwachungssysteme nicht einschränken würden und dass der „Data Protection Review Court“ im eigentlichen Sinne kein Gericht, sondern lediglich ein Verwaltungsorgan sei.

Zudem moniert er, dass die US-Unternehmen sich nicht an die DSGVO halten müssen, da die EU-Kommission deren Einhaltung nicht explizit verlangt hat. Der Österreicher zweifelt daran, dass die USA eine Zukunft als weltweiter Cloud-Anbieter haben, wenn internationale Kunden nach US-Gesetzen keine Rechte hätten. Im Grunde sieht er wenig Chancen für das neue Abkommen.

Unternehmen brauchen Rechtssicherheit

Demgegenüber äußerte sich der IT-Branchenverband Bitkom positiv zur Durchführungsverordnung Bidens, da sie ein klarer Fortschritt für die Absicherung internationaler Datenübertragungen sei und Unternehmen belastbare rechtliche Rahmenbedingungen und die dazugehörige Rechtssicherheit bräuchten.

Mit dem Privacy Shield 2.0 wäre für Unternehmen dahingehend zumindest eine deutliche Erleichterung in Sicht. Doch es bleibt abzuwarten, wie der Angemessenheitsbeschluss der EU-Kommission aussieht und ob es bei aktuell gültigen US-Gesetzen zu datenschutzfreundlicheren Anpassungen kommen wird.

Keine Kompromisse bei Cyber-Sicherheit: So gehen Sie auf Nummer sicher

Neben den bereits erwähnten Cloud-Diensten könnten US-amerikanische Anbieter von Cyber-Sicherheitsdiensten wie DDoS-Schutz oder Web Application Firewall (WAF)  ebenfalls betroffen sein. Viele dieser Unternehmen nutzen für ihre Schutzlösungen ein Content Delivery Networks (CDN)  als eine Art Datenautobahn. CDNs sind komplex und lassen sich nur schwer taktisch an solche weitreichenden regulatorischen Anforderungen wie die bisher beschriebenen anpassen.

Die Daten auf dieser Datenautobahn finden völlig losgelöst vom Datenschutz den Weg zum Nutzer. In Sekundenschnelle befindet sich der Datenverkehr auf Überseekabeln bzw. außerhalb der EU-Datenschutzzone.

Unternehmen, die auf Nummer sicher gehen wollen, sollten ihre schützenswerte Daten wie zum Beispiel personenbezogene Angaben und IT-Sicherheit einem Anbieter aus Deutschland bzw. Europa anvertrauen und damit eine unzulässige Datenverwendung in den USA von vornherein ausschließen. Denn jedes US-amerikanische Unternehmen unterliegt den oben beschriebenen US-Gesetzen und ist zur Auskunft verpflichtet. Das gilt auch für die dazugehörigen Tochterfirmen in Europa, auch wenn es sich um eine deutsche GmbH handelt.  

Die strengen Vorgaben des europäischen und des deutschen Gesetzgebers zum Datenschutz und der Datensicherheit bieten die erforderliche Sicherheit für eine Datenübermittlung. Es gibt in Deutschland und Europa mehrere Unternehmen, die sehr gute IT-Sicherheitslösungen anbieten.

Diese innovativen Eigenlösungen stehen technologisch den US-amerikanischen Produkten in nichts nach. Neben ihrem hohen Schutzlevel wird durch die DSGVO-Konformität der „Made in Germany“-Sicherheitslösungen auch die Einhaltung von Compliance-Anforderungen erleichtert. Zudem fördert der Kauf eines lokalen IT-Sicherheitsproduktes die deutsche beziehungsweise die europäische Wirtschaft. 

Sie wollen mehr zu DSGVO-konformen IT-Sicherheitslösungen wissen? Nehmen Sie gern zu uns Kontakt auf:

Jetzt kontaktieren

Ransomware: Was ist das?
Link11 warnt: DDoS-Erpresser starten 90 Gbps-Attacken und drohen Verschlüsselung an
X