Die Folgen des Privacy-Shield-Urteils für Facebook & Co.
Welche neuen Datenschutzlösungen müssen US-Unternehmen nach dem Privacy-Shield-Urteil finden? Der Bundesdatenschutzbeauftragte kennt die Antwort im Interview.
Der Europäische Gerichtshof hat den Datenschutzbeschluss EU-US Privacy Shield für nichtig erklärt. Verschlüsselung, Pseudonymisierung oder Treuhand-Modelle: Schon bald würden US-Unternehmen solche Lösungen für mehr Datenschutz einsetzen, prophezeit der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, im c’t-Interview.
c’t: Herr Kelber, im Juli hat der Europäische Gerichtshof das Privacy-Shield-Abkommen gekippt. Seitdem wissen viele Menschen in Europa nicht, ob sie weiterhin Daten zu US-Unternehmen transferieren dürfen. Reichen nun die sogenannten Standardvertragsklauseln der EU-Kommission als Grundlage aus?
Ulrich Kelber: Wir arbeiten an Orientierung gebenden Leitlinien zu dieser Frage, gemeinsam mit den Kolleginnen und Kollegen aus den Bundesländern und der EU. In vielen Fällen wird ein Transfer voraussichtlich weiter möglich sein, wenn zusätzliche Sicherungsmaßnahmen getroffen werden. Wie diese Maßnahmen aussehen müssen, hängt von den Bereichen ab. Für einfache Datenspeicherungen bietet sich möglicherweise eine Verschlüsselung an, bei anderen Geschäftsmodellen eine Pseudonymisierung. Denkbar ist auch, dass Treuhänder aus der EU die Daten im Auftrag der US-Unternehmen verarbeiten, sodass US-Sicherheitsbehörden keinen Zugriff mehr haben.
c’t: Glauben Sie wirklich, dass Facebook & Co. ihre Produkte derart umbauen?
Kelber: Facebook wird nicht auf 450 Millionen Kunden in der EU verzichten, und auch nicht auf 120 Millionen in Japan und 50 Millionen in Südkorea, wo die Gesetze sich mittlerweile an der Datenschutz-Grundverordnung orientieren. Die gleichen Standards werden in Indien und in vielen weiteren Staaten kommen. Die US-Anbieter werden sich schneller bewegen, als manch einer heute glaubt.
c’t: Die EU-Kommission und die US-Regierung streben eine andere Lösung an: Sie verhandeln über ein Nachfolgeabkommen zu Privacy Shield. Kann dabei etwas herauskommen, das vor Gericht bestehen kann?
Kelber: Das kann heute niemand sagen, das hängt unter anderem von den Wahlen in den USA ab. Wir wissen aber, was sich in den USA ändern müsste: Es geht nicht, dass Bürgerinnen und Bürger der EU weniger Rechte haben als Staatsangehörige der Vereinigten Staaten. Es kann auch nicht sein, dass Betroffene nicht informiert werden, wenn Behörden auf ihre Daten zugreifen. Und die Unternehmen, die ein solches Abkommen nutzen wollen, müssen auch tatsächlich geprüft werden. Wenn sich die amerikanische Seite da nicht bewegt, kann es nach diesen Urteilen des Europäischen Gerichtshofs kein neues Abkommen geben.
c’t: Zu Ihren Aufgaben gehört es, die Einhaltung des Datenschutzes durch die Bundesregierung zu überwachen. Untersagen Sie Ministerien und Behörden nun die Nutzung von US-Cloud-Diensten wie Cisco Webex oder Microsoft 365?
Kelber: Wir haben alle Stellen, die unserer Aufsicht unterliegen, über die Folgen des Privacy-Shield-Urteils informiert. Wir haben dabei sehr deutlich gesagt: Wer die Sicherheit persönlicher Daten nicht gewährleisten kann, muss uns das melden. Das werden wir auch kontrollieren, und zwar ab sofort. Wir können die Nutzung bestimmter Dienste auch untersagen. Das ist unser schärfstes Schwert, deshalb müssen wir hier besonders gut argumentieren. Mir wäre es lieber, wenn die öffentlichen Stellen durch unsere Beratung ihre Datenverarbeitung in einen zum neuen Urteil rechtskonformen Zustand bringen.
c’t: Aus Sicht von Wirtschaftsverbänden schießt die DSGVO weit über das Ziel hinaus, weil sie auch europäische Start-ups und Mittelständler dabei behindere, Daten-Geschäftsmodelle aufzubauen. Was sagen Sie zu dieser Kritik?
Kelber: Ich finde es traurig, wie kurzsichtig die Verbände argumentieren. Das ist ungefähr so, als hätte die deutsche Autoindustrie gejammert, dass sie Sicherheitsgurte einführen muss. Zum Glück haben sie das nicht getan, sondern sie haben mit dem Airbag und anderen Innovationen selbstständig weitere Verbesserungen vorgenommen. Also lautet meine Bitte an die Wirtschaft: Raus aus dem Jammermodus, rein in den Wettbewerbsmodus. Die DSGVO ist mittlerweile ein Exportschlager, andere Länder orientieren ihre Gesetzgebung daran. Das könnte ein Riesenvorteil für Unternehmen aus der EU sein, die datenschutzfreundliche Anwendungen entwickeln.
Mehr über die Konsequenzen des Urteils für Bürger und Unternehmen lesen Sie in unserer FAQ zum Thema Privacy Shield.
Dieser Artikel stammt aus c't 21/2020. (cwo)