Schwerpunkte

Gastkommentar zum EuGH-Urteil

Sicherheit ohne Abhängigkeit

16. Dezember 2020, 15:30 Uhr   |  Autor: Falk Herrmann / Redaktion: Diana Künstler | Kommentar(e)

Sicherheit ohne Abhängigkeit
© fs Quelle: 123rf

Das Aus des "Privacy Shield" macht deutlich: Europäische Daten lassen sich in den USA nicht mit Vereinbarungen vor dem Zugriff Dritter schützen. Europäische Firmen brauchen jetzt eine rechtssichere Grundlage für ihre cloudbasierten Geschäftslösungen, unabhängig von machtpolitischen Interessen.

Der Europäische Gerichtshof hat die Datenschutzvereinbarung aus dem Jahr 2016 zwischen der EU und den USA Ende Juli für ungültig erklärt. Als Begründung nennt das EuGH US-amerikanische Gesetze, die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung „auslän-
discher Kommunikation“ in die Hand geben. Europäische Unternehmen können sich nun nicht mehr länger bei Datentransfers in die USA auf die Angemessenheit des Datenschutzniveaus gemäß Artikel 45 EU-DSGVO berufen.  

US-Recht hat Vorrang

Was der europäische Gerichtshof jetzt untermauert hat, wurde von Anfang an von Datenschützern kritisiert: Der „Privacy Shield“ lässt dem US-Recht Vorrang. Der „Clarifying Lawful Overseas Use of Data Act“, besser bekannt als Cloud Act, verpflichtet US-amerikanische Cloud-Provider, den US-Behörden Zugriff auch auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Nachdem im Januar 2017 die Behörden in den USA per Dekret aufgefordert wurden, den Datenschutz für Ausländer vollends aufzuheben, war es nur noch eine Frage der Zeit, bis der „Privacy Shield“ kippt.

Mit dem Ende des „Privacy Shield“ geht das Ringen um den Schutz personenbezogener Daten, die aus der EU in die USA übermittelt werden, in eine neue Runde. Leidtragende sind die europäischen Unternehmen. Sie brauchen schnell eine rechtssichere Lösung. Denn für sie werden cloudbasierte Anwendungen immer wichtiger, um zukunftsfähige Geschäftsmodelle umzusetzen. Hinzu kommt: Die marktführenden Cloud-Plattformanbieter sind überwiegend US-amerikanische Unternehmen, und treiben „Cloud-only“-Lösungen mit Nachdruck voran. Immer mehr Daten aus europäischen Unternehmen liegen längst in Rechenzentren amerikanischer Konzerne – und sind dort nicht sicher vor dem Zugriff Dritter. Seit dem Urteil des europäischen Gerichtshofes herrscht somit für deutsche Unternehmen Rechtsunsicherheit. Denn auch die Nutzung der Standardvertragsklauseln, die den Datentransfer in Drittländer regeln, ist durch das Urteil vom 16. Juli 2020 ins Wanken gekommen. Zwar hat der EuGH an diesen nichts zu beanstanden. Doch werden die Aufsichtsbehörden dazu verpflichtet, die Übermittlung von Daten auszusetzen oder zu verbieten, sofern die vertraglich festgehaltenen Standards in einem Drittland nicht eingehalten werden oder eingehalten werden können.

Rechtssicherheit dringend erforderlich

Für europäische Unternehmen bedeutet dies, dass sie vor einem Datentransfer in jedes Drittland prüfen müssen, ob die Regelungen eingehalten werden. Unternehmen gehen damit ein enormes Risiko ein. Der Bundesverband der Deutschen Industrie schlägt bereits Alarm. Präsident Dieter Kempf fordert: Europäische Unternehmen brauchen dringend Rechtssicherheit im globalen Daten- und Wirtschaftsverkehr.Aber wie kann eine rechtssichere Lösung aussehen?

Falk Herrmann, Rohde & Schwarz Cybersecurity
© Rohde & Schwarz Cybersecurity

Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity, ist überzeugt davon, dass sich US-Gesetze nicht zugunsten europäischer Datenschutzvorschriften "zähmen lassen". So bestehe auch mit einer neuen Regelung die Gefahr, dass Sicherheit nur vorgetäuscht wird. Vielmehr brauche es Uabhängigeit von außereuropäischen Cloud-Providern.

Der „Privacy Shield“ war bereits der zweite Versuch, eine solche zu schaffen. Auch der Vorgänger, die „Safe-Harbour-Entscheidung“ (Anm. d. Red.: Entscheidung fiel am 6. Oktober 2015) , war gescheitert. Beiden Vereinbarungen ist es nicht gelungen, amerikanische Unternehmen zu verpflichten, die Daten europäischer Bürger und Unternehmen besser zu schützen.  

Die Erfahrung zeigt: US-Gesetze lassen sich nicht zugunsten europäischer Datenschutzvorschriften zähmen. Die Abkommen wurden zudem als machtpolitische Spielbälle missbraucht. Es besteht die Gefahr, dass auch eine neue Regelung Sicherheit vortäuscht, ohne sie garantieren zu können. Europäische Unternehmen brauchen stattdessen eine Sicherheit ohne Abhängigkeit. Möglich ist das nur mit einer technischen Lösung. Dazu müssen sensitive Daten von den Arbeitsprozessen und Serviceangeboten außereuropäischer Cloud-Provider abgekoppelt und verschlüsselt werden. Dann lassen sich diese an jedem beliebigen Ort speichern.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Die blinden Flecken des Datenschutzes
Physische Sicherheit und Datenschutz im Fokus
Cybersicherheits-Prophylaxe
Finde den Fehler in der Matrix
Das Prinzip der geteilten Verantwortung

Verwandte Artikel

Rohde & Schwarz Cybersecurity