Man muss sich wirklich ernsthaft die Frage stellen, ob es uns in Europa oder Deutschland wirklich Ernst ist mit dem Schutz unserer Daten oder den Inhalten von Online Kommunikation.
Bereits vor dem EuGH zu Schrems II und dem Privacy Shield Abkommen zwischen der EU und den USA am 16. Juli 2020 war eigentlich klar, das alle Abkommen in Bezug auf die Datenübertragung in ein Drittland, die einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU, auf die USA auf Grund der dortigen Rechtslage nicht zutreffen können. Man hat also wohlwissend auf eine Brücke gebaut, die von vorherein einsturzgefährdet war.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber bemerkte zu dem Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer in einer Pressemitteilung des gleichen Tages: “Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten.”
Zehntausende Datenschützer in Deutschland, selbst mit Zertifizierung, haben einfach zugeschaut und selbst bekannte Datenschleudern, die selbst in USA verklagt wurden, ohne Warnung in den Unternehmen zugelassen.
Der EuGH schafft mit seiner Entscheidung einen klareren Rahmen für den internationalen Datenverkehr mit der Europäischen Union. Dabei stellt er hohe Anforderungen an die besonderen Schutzmaßnahmen wie etwa Standardvertragsklauseln, die Unternehmen und Behörden ergreifen und Aufsichtsbehörden kontrollieren müssen. Personenbezogene Daten dürfen nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) nur dann an ein Drittland übermittelt werden, wenn dort für die Verarbeitung der Daten ein angemessenes Schutzniveau gewährleistet ist. Die Übermittlung von personenbezogenen Daten in die USA unter dem Datenschutzschild ist rechtlich nicht mehr zulässig. Nach dem Urteil des EuGH steht fest, dass in den USA kein im Wesentlichen gleichwertiges Schutzniveau gegeben ist. Eine Übermittlung auf der Grundlage von geeigneten Garantien nach Art. 46 DSGVO, auch z.B. Standarddatenschutzklauseln oder BCR (Binding Corporate Rules,in der Datenschutz-Grundverordnung als verbindliche interne Datenschutzvorschriften bezeichnet), bleibt allerdings grundsätzlich möglich. Es müssen dann aber zusätzliche Maßnahmen getroffen werden, die die übermittelten Daten im konkreten Einzelfall angemessen vor dem unbeschränkten Zugriff der US-Sicherheitsbehörden schützen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, teilt am 7. September 2020 dazu mit: „Das sog. „Privacy Shield“, ein Angemessenheitsbeschluss der Kommission nach Art. 45 DS-GVO (2016/1250 vom 12.07.2016, noch zur Datenschutz-Richtlinie 95/46/EC), mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, ist ab sofort ungültig.“
Aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA kann ein angemessenes staatliches Datenschutz-Niveau (Art. 45 DS-GVO) nicht sichergestellt werden (u.a.):
- Section 702 des Foreign Intelligence Surveillance Act (FISA) sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vor,
- Presidential Policy Directive 28 (PPD-28) gibt Betroffenen keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden und sieht keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen vor,
- der im Privacy Shield vorgesehene Ombudsmann hat keine genügende Unabhängigkeit von der Exekutive; er kann keine bindenden Anordnungen gegenüber den Geheimdiensten treffen.
- Maßstab der Feststellung des EuGHs, dass die staatlichen Überwachungsmaßnahmen der USA unverhältnismäßig sind, ist die EU-Grundrechte-Charta.
- Weiterhin heißt es: Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren.
- Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.
- Das gilt insbesondere, wenn das Recht des Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die geeignet sind, vertraglichen Regeln, die einen geeigneten Schutz gegen den Zugriff durch staatliche Behörden vorsehen, zuwider zu laufen.
- Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
Warum also nicht gleich auf Lösungen aus Europa zurückgreifen? Europäische Lösungen für Videokonferenzen gibt es seit vielen Jahren. Die Berliner Datenschutzbeauftragte veröffentlichte die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter, insgesamt 17, bereits am 3. Juli 2020 auf ihrer Webseite, bewertet mit Ampelsymbolen. Einer dieser mit grün bewerten Anbieter ist der französische Hersteller Tixeo SARL. Das 2007 gegründete Unternehmen ist nicht nur DSGVO-konform, sondern auch von der ANSSI (vergleichbar mit dem deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik) mit der CSPN (First Level Security Certification) ausgezeichnet. Videokommunikation mit Tixeo ist unabhängig von der Anzahl der Teilnehmer immer Ende-zu-Ende verschlüsselt. Viele Anbieter behaupten, sie hätten eine Ende-zu-Ende Verschlüsselung. Aber nur bei der Lösung von TIXEO ist das von unabhängiger Stelle geprüft, zertifiziert und damit bewiesen. Öffentlichen Institutionen wie Ministerien, Behörden und Organisationen steht damit ein Tool zur Verfügung, dass nicht nur die Sicherheit der persönlichen Daten garantiert, sondern auch die Inhalte der Kommunikation vor jeglicher Art von Cyber Angriffen schützt.
Es geht also auch ohne Abhängigkeit von den großen amerikanischen Playern. Schrems II und die Pandemie haben uns alle wachgerüttelt und uns für den Datenschutz und die Sicherheit unserer Kommunikationsinhalte sensibilisiert. Abhängigkeit ist nie gut. Die eigene Souveränität und die Sicherheit Europas stehen auf dem Spiel. Nur ein starkes Europa hat eine sichere Zukunft.