Das vor fünf Jahren mit den USA ausgehandelte Abkommen zum Privacy Shield schützt die Daten der EU-Bürger und -Unternehmen nicht ausreichend, u.a. weil Geheimdienste der USA weiterhin auf den Datenverkehr zwischen der EU und den USA zugreifen könnten und EU-Bürger keine einklagbaren Rechte gegenüber den US-Behörden hätten. Dies haben die EU-Richter Ende Juli entschieden, berichten Jannis Brühl und Mirjam Hauck in der Süddeutschen Zeitung.
Der EuGH habe in seinem Gerichtsverfahren im Bereich des Datenschutzes den im Jahr 2016 zwischen den USA und der EU abgeschlossenen Privacy Shield Deal damit für hinfällig erklärt. Demnach dürften europäische Unternehmen nun US-amerikanische Provider, die Daten in die USA übertragen, – darunter auch die großen amerikanischen Cloud-Dienstleister – nicht mehr nutzen.
Diese würden nun auf sogenannte Standardsvertragsklauseln setzen, mit denen der Datenschutz bilateral zwischen EU-Unternehmen und den amerikanischen IT-Providern geregelt werden könne. Allerdings würde das Datenschutz-Problem laut EuGH auch durch die Nutzung von Standardsvertragsklauseln nicht gelöst, da die US-Geheimdienste weiterhin den Datenverkehr überwachen könnten. Zudem seien viele Unternehmensjuristen vor allem von mittelständischen Unternehmen gar nicht in der Lage, entsprechende Binding Corporate Rules zu verhandeln.
„Große Teile des Datenverkehrs über den Atlantik stehen also grundlegend in Frage. Manche hiesige Firmen könnten davon profitieren.“
Die Frage sei nun, wie es generell weitergehen würde. Es sei zu erwarten, dass auch weitere zukünftige Regelungen zwischen der EU und den USA von den EU-Richtern gekippt würden, da die strengen europäischen GDPR-Regeln von so gut wie keinem anderen Land außerhalb der EU erfüllt werden könnten. Dies biete für europäische Cloud-Anbieter, die sich an die strengen Datenschutzrichtlinien hielten und daher derzeit einen Nachteil gegenüber Amazon, Microsoft und Co. hätten, eine Chance. Allerdings seien US-Anbietern hinsichtlich Verschlüsselung und Verlässlichkeit nahezu uneinholbar voraus.
Ich bin hinsichtlich der Bewertung des EuGH-Urteils zwiegespalten. Einerseits ist es für Unternehmen ein unhaltbarer Zustand, dass es keine nachhaltige Rechtssicherheit gibt – auch der Vorgänger des Privacy Shield, das Safe-Harbor-Abkommen, war ja bereits für ungültig erklärt worden –, andererseits ist die Sicht der EU-Richter nachvollziehbar, dass europäische Daten ausreichend geschützt werden müssen. Entsprechende Abkommen wie das Privacy Shield sind letztendlich auch kein rechtsverbindlicher Vertrag und hindern die amerikanischen Behörden nicht daran, den Datenverkehr auszuwerten.
Insofern ist das Vorhaben „Gaia-X“ der Europäischen Union zum Aufbau einer europäischen Daten-Cloud ein richtiger Schritt, um die EU unabhängiger von BigTech zu machen. Dies ist auch vor dem Hintergrund sinnvoll, dass die Regulierungsbehörden Banken und Versicherer unabhängig vom EuGH-Urteil zwingen könnten, ihre Daten dem Zugriff nicht-europäischer Behörden zu entziehen. Finanzdienstleister sind daher ohnehin gut beraten, eine Multi-Vendor-Strategie zu verfolgen, um ggf. zu europäischen Cloud-Dienstleistern wechseln zu können.
Bei allen europäischen Ambitionen sollt man aber realistisch bleiben: Bis Gaia-X die Leistungsfähigkeit von AWS, Azure und Co. hat und noch dazu kostenseitig konkurrenzfähig ist, wird noch einige Zeit vergehen. Insofern wäre es hilfreich, wenn Übergangsregelungen den Unternehmen ermöglichen würden, vorerst weiter US-amerikanische Provider zu nutzen.
Originallink aufrufen