Vor dem Durchbruch

molenira/Adobe Stock ©

Sensible Daten – wie lassen sie sich schützen?

Für den Datentransfer von der EU in die USA fehlt ein tragfähiges Abkommen – bislang. Hier der Weg zu einer rechtssicheren Lösung.

Von Martin Armbruster, IHK-Magazin 07-08/2023

In Zeiten der Megakrisen tat diese Stimmung richtig gut: Optimismus und Harmonie prägten den 7. Deutsch-Amerikanischen Datenschutztag, der im Frühjahr im Münchner Haus der Bayerischen Wirtschaft stattfand. Geladen hatten die Vereinigung der Bayerischen Wirtschaft (vbw) in Kooperation mit dem US-Generalkonsulat und dem Bayerischen Landesamt für Datenschutzaufsicht.

Auf der Agenda stand ein großes Thema: der neue Trans-Atlantic Data Privacy Framework (TADPF). Der sperrige Begriff steht für ein neues Datenschutzabkommen, mit dem EU und US-Regierung das liefern wollen, was Unternehmen seit Jahren erwarten: die rechtssichere Grundlage für den Datenaustausch mit den USA.

Eine solche Vereinbarung ist dringend notwendig. Seit knapp 5 Jahren gibt es mit der Datenschutz-Grundverordnung (DSGVO) EU-weit einheitliche Standards für den Datenschutz. Aber 60 Prozent der deutschen Unternehmen betreiben Datentransfers in Drittstaaten, ermittelte der Branchenverband Bitkom in Berlin. An erster Stelle stehen die USA mit 59 Prozent.

Es geht um rund 7,1 Billionen US-Dollar

Diese Spitzenposition ist kein Zufall. Auch Bayerns Industrie nutzt die US-Cloudanbieter Amazon, Google, IBM und Microsoft. 40 Prozent der Hyperscale-Rechenzentren der weltweiten Cloudinfrastruktur stehen in den USA. Fast jedes Unternehmen, das für seine Website Trackingdienste einsetzt, liefert dorthin. Das gilt ebenfalls für das Nutzen von weltweiten Dienstleistern, die Security-Support rund um die Uhr bieten. Die US-Regierung beziffert den Wert des vom Datenschutz betroffenen Geschäfts zwischen EU und USA auf sagenhafte 7,1 Billionen US-Dollar.

Das große Problem bislang: Dem Weißen Haus war die nationale Sicherheit weit wichtiger als der Schutz sensibler Daten von Konsumenten und Bürgern. Seit den Enthüllungen durch Edward Snowden ist bekannt: Massenüberwachung von Daten gehört zum Alltag der US-Geheim- und -Sicherheitsdienste.

2 Abkommen bereits gescheitert

Eine weitere Schwierigkeit: Bisher können sich EU-Bürger in den USA kaum juristisch gegen den Missbrauch ihrer Daten wehren. Ein Ombudsmann war vorgesehen; nur hatte dieser – trotz der bekannten Datenschutzskandale – nicht eine einzige Beschwerde bearbeitet.

Wegen dieser zwei chronischen Mängel hat es der österreichische Datenschutzaktivist Max Schrems geschafft, mit Klagen vor dem Europäischen Gerichtshof (EuGH) gleich zwei Datenschutzabkommen zwischen EU und den USA zu kippen: Safe Harbour und Privacy Shield. Je nach Sichtweise kann man das sensationell, erschreckend oder blamabel finden. Faktisch fehlt Rechtssicherheit beim Datentransfer in die USA.

Nach Auffassung europäischer Datenschutzbehörden müssten Unternehmen dafür Daten aufwendig verschlüsseln und vor jeder Datenübermittlung ein sogenanntes Transfer Impact Assessment (TIA) vorschalten – eine Prüfung, welche Auswirkungen die Übermittlung ihrer Daten für die davon betroffenen Personen hat.

Meta droht

Als Notbehelf nutzen laut einer Bitkom-Umfrage 91 Prozent der deutschen Unternehmen die von der EU-Kommission verabschiedeten Vertragsmuster, sogenannte Standardvertragsklauseln für den Datentransfer in die USA. Es gibt aber Zweifel daran, ob die Datenempfänger in den USA diese Klauseln umsetzen können. Viele dieser Datentransfers könnten rechtswidrig sein, die Unternehmen bußgeldbedroht. Der wirtschaftliche Schaden ist beträchtlich. Meta, Mutterkonzern von Facebook und Instagram, hat angedroht, seine sozialen Medien in Europa abzuschalten.

„Für Unternehmen ist es nicht unmöglich, aber sehr aufwendig und teuer geworden, persönliche Daten in die USA zu transferieren“, kritisiert IHK-Juristin Rita Bottler. „Das ist ein unhaltbarer Zustand für tausende Unternehmen und eine Belastung unserer Wirtschaft.“ Das Positive: EU und USA sind gewillt, das zu ändern. Im März 2022 hatten sie sich auf ein neues Datenschutzabkommen verständigt.

Bayerns Innenminister Joachim Herrmann (CSU) betonte auf dem Datenschutztag, es brauche eine vernünftige Lösung, die dem Schutz sensibler Daten der Bürger diene, aber zugleich die wirtschaftliche Entwicklung nicht behindere. Das sei die Basis zahlreicher Anwendungen, von künstlicher Intelligenz über das Internet der Dinge bis hin zu Cloud- und Softwarenutzung.

Wertebasiertes Gegenmodell zu China

Der Minister lobte die DSGVO überraschend deutlich. Ebenso wie US-Generalkonsul Timothy E. Liston vertrat Herrmann die Ansicht, die digitale Welt brauche ein positives Gegenmodell zu Chinas Ansatz, Daten zur Kontrolle und Unterdrückung der Gesellschaft zu missbrauchen. Das wertebasierte Datenschutzverständnis Europas habe inzwischen auch die Diskussion in den USA positiv beeinflusst. „Unser Partner hat sich richtig ins Zeug gelegt“, urteilte Herrmann über die von US-Präsident Biden im Oktober 2022 unterzeichnete Executive Order.

Premiere für EU-Bürger

Was es so tatsächlich noch nie gab: Der US-Präsident schränkt den Zugriff seiner Sicherheitsbehörden ein. Die Auswertung personenbezogener Daten von EU-Bürgern ist nur noch bedingt möglich. Die Geheimdienste müssen etwa künftig nachweisen, dass diese Maßnahme „verhältnismäßig“ und „notwendig“ ist. Zusätzlich soll es ein neuer zweistufiger Beschwerdemechanismus EU-Bürgern erstmals ermöglichen, sich ernsthaft gegen die Sammlung ihrer Daten durch US-Behörden zu wehren. Das sogenannte Privacy and Civil Liberties Oversight Board soll den Geheimdiensten auf die Finger schauen, sodass sie bei den Beschwerdeverfahren ausreichend kooperieren.

Die US-Regierung hat ihren Schritt gemacht. Daraufhin leitete die EU-Kommission ein Verfahren zur Annahme eines Angemessenheitsbeschlusses ein. Damit würde die EU ein vergleichbares Datenschutzniveau bescheinigen, was die Rechtsgrundlage für einen freien und ungehinderten Datenverkehr mit diesen US-Unternehmen wäre.

EU sieht sich „auf Kurs“

Der Datenschutztag offenbarte aber auch: Das Ganze läuft nicht ruckelfrei. Zwei EU-Ausschüsse haben Verbesserungswünsche oder hegen grundlegende Skepsis. Bruno Gencarelli, Abteilungsleiter für Datenschutz in der Generaldirektion für Recht und Verbraucherschutz der EU-Kommission, sieht die EU gleichwohl auf Kurs. Man arbeite an der Beseitigung der Schwachstellen, auf die der EuGH hingewiesen habe. Daher erwarte er den EU-Angemessenheitsbeschluss noch in diesem Sommer. Am Ende ist die Zustimmung der Mitgliedstaaten entscheidend.

„Müssen das jetzt packen“

In der Diskussion nannte auch Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, es „ganz fantastisch“, wie beide Seiten sich bewegten. Will versicherte, er werde sicher nicht dagegen klagen. „Wir müssen das jetzt packen!“, forderte er alle Beteiligten auf. Es gibt ohnehin keine Zeit zu verlieren, in den USA stehen Wahlen an.

Auch IHK-Juristin Bottler bemerkt die Effekte der Executive Order und ihre positive Bewertung durch die EU-Kommission: „Die Rechtslage für EU-Bürger in den USA hat sich bereits positiv verändert.“