Das transatlantische Daten-Dilemma : Privacy-Shield II und alternative Anforderungen zur Absicherung von Datentransfers in die USA

Von Dennis-Kenji Kipker, Bremen

Am 25. März 2022 ist mit Blick auf die transatlantischen Wirtschaftsbeziehungen zwischen der EU und den USA etwas geschehen, auf das viele mit Spannung gewartet haben, nachdem der Europäische Gerichtshof (EuGH) im Juli 2020 in seiner viel beachteten „SchremsII“-Entscheidung das EU-US-Datenschutzabkommen „Privacy-Shield“ für ungültig erklärt hatte: Die EU-Kommission erklärte nach mehr als einem Jahr intensiver Verhandlungen mit den USA, einen Durchbruch zur Schaffung eines Nachfolgeabkommens erzielt zu haben [1]. Das war auch mehr als nötig, denn der Wegfall des Privacy-Shield führte nicht nur zu einer erheblichen Rechtsunsicherheit bei transatlantischen Transfers personenbezogener Daten, sondern vielfach zu offensichtlich rechtswidrigen Datenübermittlungen, die sehenden Auges auch durch die Datenschutzaufsicht geduldet wurden – bis schließlich die Behörden in den Mitgliedstaaten vor Kurzem ankündigten, den transatlantischen Datenverkehr besonders im Hinblick auf die Verwendung von Google Analytics stärker als bislang zu überprüfen und im Zweifelsfall auch zu sanktionieren.

Umso mehr wächst aktuell der politische Druck auf die Europäische Kommission, die Anforderungen des EuGH zeitnah umzusetzen und den Daten- und damit auch den digitalen Wirtschaftsverkehr zwischen der EU und den USA wieder auf eine vernünftige (Rechts-)Grundlage zu stellen. Dennoch überraschte es, dass die Einigung für eine Nachfolgeregelung „Privacy-Shield II“ derart schnell gekommen sein soll – und es steht die Frage im Raum, ob sie tatsächlich geeignet ist, ein der EU adäquates Niveau von Datenschutz und Datensicherheit auch in denn USA zu gewährleisten.

Gemeinsame Erklärung

In ihrem „Joint Statement on Trans-Atlantic Data Privacy Framework“ erklärten die Europäische Kommission und die Vereinigten Staaten von Amerika, dass sie sich grundsätzlich auf einen neuen transatlantischen Datenschutzrahmen geeinigt haben, der die rechtlichen Bedenken ausräumen soll, die der EuGH in seiner Schrems-II-Entscheidung geäußert hatte. Im Mittelpunkt sollen dabei dieses Mal weitaus verbindlichere Mechanismen und Zusicherungen auf US-Seite stehen, um dem europäischen Datenschutz gerecht zu werden: Wo die bisherigen Angemessenheitsbeschlüsse für ein den europäischen Anforderungen genügendes Datenschutzniveau weit hinter den eigentlichen Erwartungen zurückgeblieben waren, indem die eigentliche und extensive Überwachungspraxis in den USA nicht wirklich angetastet wurde, gehe es nunmehr um eine „beispiellose Verpflichtung der USA zur Umsetzung von Reformen, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten im Zusammenhang mit nachrichtendienstlichen Tätigkeiten verbessern“.

Das Joint Statement bezieht sich dabei auf Ansätze, die in der Vergangenheit zwar vielfach diskutiert, aber bislang nie ernsthaft umgesetzt wurden: die unbedingte Notwendigkeit und Verhältnismäßigkeit behördlicher Überwachungsaktivitäten, eine strenge und mehrschichtige Aufsicht über behördliche Überwachungsaktivitäten sowie die Schaffung eines effektiven Rechtsbehelfsmechanismus gegen Maßnahmen von US-Behörden – aktuell wird hierzu ein zweistufiges, unabhängiges Rechtsbehelfsverfahren mit verbindlichen Befugnissen zur Anordnung von Abhilfemaßnahmen vorgeschlagen.

Viele Vorbehalte – zu Recht?

Obwohl die aktuellen Eckpunkte für den Nachfolger des Privacy-Shield erst einmal vielversprechend klingen, werden dennoch bereits kritische Stimmen laut. Max Schrems selbst stellte unmittelbar nach der Bekanntgabe der Einigung fest, dass diese nicht mehr als „lipstick on a pig“ sei (vgl. [2]), zu Deutsch: An der eigentlich kritikwürdigen Vorgängerregelung werden nur marginale kosmetische Korrekturen vorgenommen, ohne die eigentlichen Mängel zu beheben.

Zudem wird kritisiert, dass die grundlegende, zwischen EU-Kommission und US-Regierung getroffene Vereinbarung noch viel zu unbestimmt sei, um einen wirklichen Fortschritt in der Sache zu bedeuten [3]. Zu oft in der Vergangenheit haben die USA Verwaltungs- und Gesetzesreformen mit Blick auf den Datenschutz angekündigt, ohne dass bislang viel passiert ist.

Dass die an der politischen Einigung schon jetzt geäußerte Kritik nicht ganz unberechtigt ist, belegt der Zeitplan des Nachfolgeabkommens: Wo in den ersten Tagen nach Bekanntgabe des Joint Statements allerorts und auch bei Datenschutzexperten teils eine euphorische Stimmung herrschte, folgte die Ernüchterung auf dem Fuße, als bekannt wurde, dass die eigentliche Nachfolgeregelung mit rechtsverbindlichen Vorgaben in Form einer Durchführungsverordnung jenseits der politischen Dimension noch Monate auf sich warten lassen würde – manch einer spricht gar davon, dass man erst zum Jahresende mit einem neuen Datenschutzabkommen rechnen kann [4]. Verwundern kann das nicht – denn die angebliche politische Einigung für eine seit Jahren währende rechtliche Debatte kam für alle überaus schnell und unerwartet.

Offene Baustellen

Sind die politischen Bemühungen der EU-Kommission um den Privacy-Shield-Nachfolger also nur ein Erfolg auf dem Papier? So weit muss man in der Aussage vielleicht nicht gehen – aber klar ist: Solange die USA ihre umfassende Überwachungsgesetzgebung nicht nachhaltig ändern, kann trotz aller politischen Bestrebungen und öffentlichen Verlautbarungen des guten Willens kein angemessenes Datenschutzniveau gewährleistet werden. Präsidiale Anordnungen und Versprechungen allein dürften jedenfalls nicht ausreichend sein, um den digitalen Bürgerrechten auch im transatlantischen Kontext zur Wirksamkeit zu verhelfen.

Mancher mag sich noch an den „Summer of Snowden“ im Jahr 2013 erinnern, als der US-amerikanische Whistleblower und ehemalige NSA-Mitarbeiter Edward Snowden geheime Details des globalen Überwachungsprogramms „Prism“ enthüllte, das unmittelbare Schnittstellen zu etablierten US Internetkonzernen enthielt, um im großen Stil geheim vertrauliche Daten abzuschöpfen. Ein weiteres aktuelles Beispiel in diesem Zusammenhang ist der „Clarifying Lawful Overseas Use of Data Act“ (Cloud Act, [5]) der US- Behörden umfassende internationale Datenzugriffsbefugnisse einräumt, auch wenn die Datenspeicherung nicht in den USA stattfindet. Hier dürfte es aktuell nach wie vor mehr als fraglich sein, wie die grundsätzliche politische Einigung zwischen der EU und den USA in der Konsequenz dazu führen könnte, dass diese und vergleichbare gesetzliche Regelungen keine Wirkkraft mehr entfalten.

Der französische Weg

Insofern kann es wenig verwundern, dass trotz der aktuellen politischen Fortschritte alternative Wege beschritten werden, um auch mit Blick auf ausländische Überwachungsgesetze die Sicherheit und Vertraulichkeit von Datenverarbeitung im internationalen Kontext zu gewährleisten. Eine Betrachtung wert ist an dieser Stelle der von der französischen „Agence nationale de la sécurité des systèmes d‘information“ (ANSSI) 2016 entwickelte Referenzrahmen für sicheres Cloud Computing „SecNumCloud“: Anfang März dieses Jahres ist er in Version 3.2 mit umfassenden Änderungen zur Umgehung der Wirkkraft von ausländischen Gesetzen, welche die Datensicherheit zu beeinträchtigen geeignet sind, neu veröffentlicht worden [6] – zeitlich passend zur erzielten politischen Einigung zwischen der EU und den USA.

Eine Besonderheit ist der Abschnitt 19.6. der neuen Regelungen, der spezielle Vorgaben zur Extraterritorialität von Cloud-Services und der entsprechenden Wahrung der Datensouveränität enthält („Schutz gegen nicht-europäisches Recht“). Ziel von SecNumCloud ist an dieser Stelle, ein möglichst hohes Maß an Datensicherheit auch im grenzüberschreitenden und internationalen Rahmen zu gewährleisten – und das unabhängig von eventuell kompromittierenden Eingriffsregelungen aus dem außereuropäischen Recht. Bei der Erweiterung der Vorgaben aus SecNumCloud hatten die Franzosen besonders auch diejenige US-amerikanische Überwachungsgesetzgebung im Sinn, die letztlich zum Fall des Privacy-Shields und dessen Vorgängerregelung „Safe Harbor“ führte.

Einschätzung der SecNumCloud-Bestimmungen

Soweit die neuen Bestimmungen der ANSSI daher einen zentralisierten Ansatz für die Verbesserung der Datensicherheit im transnationalen Umfeld verfolgen, ist dies grundsätzlich zu begrüßen, da hierdurch vergleichbare technisch-organisatorische Sicherheitsfragen einheitlich, umfassend, effizient und möglichst wirksam behandelt werden können. Außerdem verfügen nicht alle Kunden von CSP über ein entsprechendes technisches Know-how, um auslandsbezogene Sicherheitsanforderungen in der Cloud bewerten zu können.

SecNumCloud ist mit seinem hoch angelegten Maßstab insoweit geeignet, ein einheitliches Vertrauensniveau zu etablieren. Doch nicht nur für Kunden bietet ein vereinheitlichter Standard zur Datensicherheit Vorteile, denn auch Anbieter, die auf dem europäischen Markt tätig werden wollen, benötigen zur Platzierung ihrer Produkte Transparenz, Vergleichbarkeit und Rechtssicherheit! Hierzu trägt SecNumCloud mit seinem umfassenden Kriterienkatalog zur Datensicherheit ebenso bei, indem er zur juristischen Auslegung des „Stands der Technik“ zu treffender IT-Sicherheitsmaßnahmen ergänzend herangezogen werden kann.

Zu hinterfragen ist dennoch, ob die in SecNumCloud 3.2 definierten Anforderungen in einem europaweiten Kontext nicht mit anderen, allem voran wirtschaftsbezogenen Interessen kollidieren. Speziell der bereits angesprochene neue Abschnitt 19.6 ist unter diesem Gesichtspunkt einer kritischen Betrachtung zu unterziehen, und zwar unter den folgenden Gesichtspunkten:

• Mit einer pauschalen Regelung von Datensicherheitsanforderungen bleiben die Wertungen, welche die EU-Kommission im Rahmen von Angemessenheitsbeschlüssen mit anderen Drittstaaten festgestellt hat, im weitesten Sinne unberücksichtigt. Die neuen Vorgaben in SecNumCloud 3.2 bergen daher das Risiko, ohne die Formulierung konkreter Prüfmaßstäbe eine pauschal diskriminierende Wirkung zu entfalten, die vor allem etablierte ausländische Anbieter und erst recht Start-ups von der Erbringung ihrer Dienstleistungen in der EU abschreckt.
• Zwar wird bestimmt, dass sich der satzungsmäßige Sitz, die Hauptverwaltung und die Hauptniederlassung eines CSP in einem Mitgliedstaat der EU befinden müssen. Mit Blick auf ausländische Regularien wie dem US Cloud Act scheint ein solches Vorgehen zunächst sinnvoll, wirkt jedoch insoweit realitätsfern und inkonsequent, als dass bei derartigen kumulierten Vorgaben regelmäßig auch die Datenverarbeitung eines solchen Konzerns in der EU stattfinden wird und man somit eigentlich von einem EU-genuinen Unternehmen ausgehen könnte. Außerdem gilt: Dadurch, dass zwar der Hauptsitz eines Unternehmens in der EU belegen ist, dieses aber eine Geschäftstätigkeit im nicht-europäischen Ausland entfaltet, wird das Unternehmen nicht automatisch der Jurisdiktion eines ausländischen Staates entzogen.
• Bei den zahlenmäßig festgeschriebenen Werten zu Aktienkapital und Stimmrechten stellt sich die Frage, weshalb die gewählten zahlenmäßigen Grenzwerte einen generellen ausschlaggebenden Charakter für die Mitbestimmungsrechte haben sollten, die die technologische Souveränität eines Unternehmens unmittelbar tangieren. Außerdem sind die Vorgaben zu unflexibel, um die betriebliche und organisatorische Realität eines Unternehmens wiedergeben zu können.

(Vorläufiges) Fazit

Es zeichnet sich trotz erster Annäherungsversuche zu einem Privacy-Shield II ab, dass das bereits seit Jahren währende transatlantische Daten-Dilemma in die nächste Runde geht, sollten die USA nicht einlenken und ihre Überwachungspraxis grundlegend ändern – oder aber die EU im Sinne der Technologiesouveränität davon absehen, sich ausländischer Anbieter bei der Datenverarbeitung zu bedienen. Beide Möglichkeiten sind rechtlich, politisch, technologisch und wirtschaftlich jedoch zurzeit unwahrscheinlich.

Der französische Vorstoß der ANSSI mit dem neuen SecNumCloud-Standard belegt eindrucksvoll die Kreativität der EU-Mitgliedstaaten, auf einem pragmatischen Wege der Problemlösung in der täglichen Anwendungspraxis näher zu kommen. Auch wenn SecNumCloud in der Gesamtbetrachtung einige sinnvolle – und deshalb durchaus auch erwägungswürdige – Ansätze enthält, um für mehr Sicherheit in der transatlantischen Datenverarbeitung zu sorgen, leidet das Konstrukt zumindest im Hinblick auf die neuen Regelungen zum „Schutz gegen nicht-europäisches Recht“ dennoch an denselben Mängeln, die auch schon für den durch den EuGH für unwirksam erklärten „ersten“ Privacy-Shield galten: Denn rechtliche Kontrollen und Beschränkungen allein werden im Ergebnis nicht in der Lage sein, effektiv und nachhaltig für das geforderte Maß an Datensicherheit zu sorgen, das durch die DSGVO im Auslandsverkehr vorausgesetzt wird.

Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).

Literatur

[1] Europäische Kommission, Gemeinsame Erklärung der Europäischen Kommission und der Vereinigten Staaten zum Transatlantischen Datenschutzrahmen, Pressemitteilung, 25. März 2022, https://ec.europa.eu/commission/presscorner/detail/de/ip_22_2087

[2] Vincent Manancourt, Mark Scott, The West’s plan to keep global data flows alive, Countries want to agree on common standards on government snooping to stave off mounting threats to cross-border data flows, Politico, 31. März 2022, www.politico.eu/article/data-oecd-privacy-shield-national-security/

[3] Ingo Dachwitz, Transatlantisches Daten-Dilemma: Das Privacy-Shield 2.0 ist zum Scheitern verurteilt, Netzpolitik.org, 30. März 2022, https://netzpolitik.org/2022/transatlantisches-daten-dilemma-das-privacy-shield-2-0-ist-zum-scheitern-verurteilt/

[4] dpa, „Privacy Shield“-Nachfolger dürfte noch Monate auf sich warten lassen, 8. April 2022, etwa auf www.security-insider.de/privacy-shield-nachfolger-duerfte-noch-monate-auf-sich-warten-lassen-a-1109343/

[5] U. S. Congress, „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act), H. R. 4943, Februar 2018, www.congress.gov/bill/115th-congress/house-bill/4943/text

[6] Agence nationale de la sécurité des systèmes d’information (ANSSI), Prestataires de services d’informatique
en nuage (SecNumCloud) référentiel d’exigences, Version 3.2, März 2022, www.ssi.gouv.fr/uploads/2014/12/secnumcloud-referentiel-exigences-v3.2.pdf

[7] Bundeszentrale für politische Bildung (bpb), Die Werte der Europäischen Union, September 2009, www.bpb.de/themen/europaeische-union/dossier-europaeische-union/42851/die-werte-der-europaeischen-union/