Privacy Shield gekippt: Europas Chance auf Datensouveränität?

Die Macht der amerikanischen Datenkonzerne weckt nicht erst seit gestern Argwohn – nichtsdestotrotz lässt eine europäische Cloud-Strategie bisher auf sich warten. Nun hat der Europäische Gerichtshof das „EU-US Privacy Shield“ für unwirksam erklärt: Der Nährboden für eine gemeinschaftliche europäische Datensouveränität?

Das amerikanische Datenschutzrecht, sofern es überhaupt existiert, steht schon länger in der Kritik. Anders als in vielen EU-Staaten ist in den USA keine einheitliche Verpflichtung zum Datenschutz präsent. Auch stellt die Thematik kein Grundrecht von Privatpersonen dar.

Vielmehr verpflichten sich US-Unternehmen zu einem angemessen Schutzniveau, können jenes aber selbst gestalten. Dabei unterliegen amerikanische Cloudanbieter auch außerhalb der USA dem US-Recht. Es ist folglich ein Trugschluss, dass europäische Daten in jenen Rechenzentren genauso gut geschützt sind wie in nationalen Institutionen. Hier braucht es dringend Rechtssicherheit für Unternehmen und Verbraucher.

Für nichtig erklärt

Besonderen Rückenwind bekommt die Initiative GAIA-X (das Konzept habe ich hier vorgestellt) von der Entscheidung zum sogenannten „Privacy Shield“. Das EU-US-Datenschutzschild, welches 2016 ausgehandelt wurde, stand schon länger für seine mangelnde Verbindlichkeit und den unzureichenden Schutz für EU-Bürger vor staatlichem Zugriff auf deren personenbezogene Daten in der Kritik. Mitte Juli wurde diese Regelung für nichtig erklärt.

Am Tag der Verkündung wurde Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, in einer offiziellen Pressemitteilung wie folgt zitiert: Er verbinde mit dem heutigen Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer eine Stärkung der Rechte der Betroffenen. Der EuGH mache deutlich, dass internationaler Datenverkehr weiter möglich sei. Dabei müssten aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden.

„Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden könnten Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat.“

Deutsche Industrie warnt vor großer Unsicherheit am Markt

In den ersten Kommentaren des US-Handelsministeriums war große Enttäuschung über die Entscheidung aus Luxemburg zu vernehmen. Die EU-Kommission kündigte zwar zeitnahe Gespräche an, doch über eine gemeinsame Lösung zum Datenschutz sind sich beide Seiten uneinig, nicht zuletzt, weil amerikanische Überwachungsgesetze nach dem 11. September 2001 hierfür kaum Handlungsspielraum einräumen.

Vor diesem Hintergrund warnt nun auch die deutsche Industrie vor einer großen Unsicherheit am Markt. Es braucht nun schnellstmöglich gesetzliche Regelungen durch die EU-Kommission, um das entstandene rechtliche Vakuum zu schließen. Dass die Gründungsmitglieder von GAIA-X sich in ihrer Satzung darauf verständigt haben, dass nicht-europäische Unternehmen zwar Mitglied in der neuen Initiative werden können, doch aus Kontroll- und Entscheidungsgremien ausgeschlossen sind, ist ein deutliches Signal an die Branche.

Einheitliche, rechtliche und organisatorische Strategie wird erkennbar

Es ist davon auszugehen, dass die europäischen Rechtsorgane und die politischen Entscheidungsträger sich in naher Zukunft konsolidieren werden und eine einheitliche Richtung finden. Derzeit ist noch einiges in Bewegung, doch an dem Urteil des Europäischen Gerichtshofes gibt es im Grunde kein Vorbeikommen: Das Privacy Shield scheint dauerhaft gekippt.

Für die Initiative GAIA-X fungiert das Urteil damit letztendlich – sowohl direkt als auch indirekt – als zusätzlicher Treibstoff. Die Planungen rund um ein eigenes europäisches Cloudframework werden nun an Fahrt aufnehmen. Es wird zunehmend eine einheitliche rechtliche und organisatorische Strategie erkennbar, und für europäische Unternehmen wird es Zeit, in der Umsetzung von Cloudstrukturen auf europäische Anbieter zu setzen bzw. umzusteigen.

Das oberste Ziel bleibt die Etablierung einer gemeinschaftlichen europäischen Datensouveränität und die Durchsetzung von geltendem Datenschutzrecht für Länder, Unternehmen und Privatpersonen.

Bild: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.