Experte kritisiert Biden-Anlauf zum EU-US-Datenaustausch

Joe Biden
Bildquelle: Marlin360 / Shutterstock.com

Der jüngste Versuch der US-Regierung, den transatlantischen Daten­austausch auf eine datenschutzrechtlich solide Grundlage zu stellen, ist zum Scheitern verurteilt, prognostiziert der Hamburger Datensicherheitsexperte Detlef Schmuck. Er sagt: „Solange sich die USA weiterhin so eklatant wie bisher über das europäische Datenschutzniveau hinwegsetzen, kann es keine stabile rechtliche Basis geben.“

Am 7. Oktober hatte US-Präsident Joe Biden die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnet. Die Anordnung soll das 2016 zwischen den USA und der EU geschlossene Datenschutzabkommen „Privacy Shield“, das der Europäische Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt hatte, wiederbeleben. Um dies voranzubringen, müsse das EU-Parlament als nächsten Schritt einen Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der General Data Protection Regula­tion (GDPR; in Deutschland mit der Datenschutzgrundverordnung DSGVO umgesetzt) entspricht.  
„Der Beschluss mag kommen, weil er politisch gewollt ist, aber faktisch ist die Angemessenheit schlichtweg nicht gegeben“, sagt Detlef Schmuck: „Der Schutz personenbezogener Daten bleibt auch nach der jüngsten Executive Order weit hinter dem europäischen Niveau zurück. Die von Biden unterzeichneten Formulierungen sind geradezu lächerlich.“

Anzeige

So räumt die jüngste US-Initiative den dortigen Behörden weiterhin das Recht auf einen massen­weisen Zugriff auf Daten von EU-Bürgern ein, wenn die nationale Sicherheit bedroht ist oder internationale Finanzdelikte aufgedeckt oder schwere Straftaten verfolgt werden oder wenn – so wörtlich – „nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“. Detlef Schmuck analysiert: „Die US-Behörden werden angesichts dieser schwammigen Formulierungen in der Praxis immer in der Lage sein, eines dieser Kriterien anzuführen, um haufenweise an die Daten von EU-Bürgern zu kommen. Wer diese Executive Order als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“ Bezüglich einer Beschwerdestelle, bei der EU-Bürger gegen den Umgang mit ihren Daten in den USA Einspruch einlegen können, und einem noch einzurichtenden Gericht für Streitfälle seien die Formulierungen der jüngsten Executive Order ebenso schwammig, meint Detlef Schmuck. Er mahnt mehr Realitätssinn an: „Wer jemals versucht hat, über die Ver­wendung seiner persönlichen Daten mit Microsoft, Amazon oder Google zu argumentieren, der ahnt, wie sinnlos ein künftiges Vorgehen gegen US-Behörden wegen Datenschutzverletzungen sein wird.“

Warnung an europäische Unternehmen

Europäische Unternehmen sollten sich auf keinen Fall durch die neue Executive Order dazu hinreißen lassen, personenbezogene Daten auch nur indirekt in die USA zu transferieren, warnt Datenfach­mann Detlef Schmuck. Der Transfer dürfte seiner Einschätzung nach selbst bei einer Zustimmung durch das EU-Parlament nachträglich als grober Verstoß gegen die europäische Datenschutzgesetz­gebung eingestuft werden.  

Detlef Schmuck erinnert: „Beide bisherigen Ansätze eines transatlantischen Datenaustausch­abkommens, Safe Harbor und Privacy Shield, sind vom EuGH gekippt worden. Alles deutet darauf hin, dass sich die europäischen Richter auch ein drittes Mal nicht von politisch motivierten Formulie­rungen täuschen lassen werden, wenn die US-Behörden faktisch den Datenschutz weiterhin mit Füßen treten.“ Sein Resümee: „Europäische Unternehmen sind weiterhin gut beraten, personen­bezogene Daten konsequent innerhalb der EU zu halten, deutsche Firmen am besten innerhalb Deutschlands.“

Anzeige

An die Politik richtet der Experte den Appell, technische Maßnahmen zum Datenschutz zu fördern, die es für jedwede Behörde unmöglich machen, Einblick in die digitale Privatsphäre der Bürger zu nehmen. Dazu zählt Schmuck eine lückenlose Ende-zu-Ende-Verschlüsselung der Datenbestände mit einer sogenannten Zero-Knowledge-Architektur. Was auf den ersten Blick technisch klingt, bedeutet in letzter Konsequenz, dass ausschließlich der berechtigte Besitzer Zugang zu seinen Daten hat – sonst niemand. Da auch der Betreiber der Datendienste keine Zugangsschlüssel zu den Kundendaten besitzt („Zero Knowledge“), kann er diese selbst auf eine behördliche Anordnung hin nicht heraus­geben. „Was man nicht hat, kann man nicht weitergeben“, sagt Schmuck lakonisch. Er weist auf einen weiteren immer wichtigeren Aspekt hin: „Cyberkriminelle können bei einer Zero-Knowledge-Architektur die Daten ebenfalls nicht in lesbarer Form erbeuten, weil sie keinen Schlüssel entwenden können, der nicht da ist.“

www.teamdrive.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.