Der jüngste Versuch der US-Regierung, den transatlantischen Datenaustausch auf eine datenschutzrechtlich solide Grundlage zu stellen, ist zum Scheitern verurteilt, prognostiziert der Hamburger Datensicherheitsexperte Detlef Schmuck. Er sagt: „Solange sich die USA weiterhin so eklatant wie bisher über das europäische Datenschutzniveau hinwegsetzen, kann es keine stabile rechtliche Basis geben.“
Am 7. Oktober hatte US-Präsident Joe Biden die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnet. Die Anordnung soll das 2016 zwischen den USA und der EU geschlossene Datenschutzabkommen „Privacy Shield“, das der Europäische Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt hatte, wiederbeleben. Um dies voranzubringen, müsse das EU-Parlament als nächsten Schritt einen Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der General Data Protection Regulation (GDPR; in Deutschland mit der Datenschutzgrundverordnung DSGVO umgesetzt) entspricht.
„Der Beschluss mag kommen, weil er politisch gewollt ist, aber faktisch ist die Angemessenheit schlichtweg nicht gegeben“, sagt Detlef Schmuck: „Der Schutz personenbezogener Daten bleibt auch nach der jüngsten Executive Order weit hinter dem europäischen Niveau zurück. Die von Biden unterzeichneten Formulierungen sind geradezu lächerlich.“
So räumt die jüngste US-Initiative den dortigen Behörden weiterhin das Recht auf einen massenweisen Zugriff auf Daten von EU-Bürgern ein, wenn die nationale Sicherheit bedroht ist oder internationale Finanzdelikte aufgedeckt oder schwere Straftaten verfolgt werden oder wenn – so wörtlich – „nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“. Detlef Schmuck analysiert: „Die US-Behörden werden angesichts dieser schwammigen Formulierungen in der Praxis immer in der Lage sein, eines dieser Kriterien anzuführen, um haufenweise an die Daten von EU-Bürgern zu kommen. Wer diese Executive Order als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“ Bezüglich einer Beschwerdestelle, bei der EU-Bürger gegen den Umgang mit ihren Daten in den USA Einspruch einlegen können, und einem noch einzurichtenden Gericht für Streitfälle seien die Formulierungen der jüngsten Executive Order ebenso schwammig, meint Detlef Schmuck. Er mahnt mehr Realitätssinn an: „Wer jemals versucht hat, über die Verwendung seiner persönlichen Daten mit Microsoft, Amazon oder Google zu argumentieren, der ahnt, wie sinnlos ein künftiges Vorgehen gegen US-Behörden wegen Datenschutzverletzungen sein wird.“
Warnung an europäische Unternehmen
Europäische Unternehmen sollten sich auf keinen Fall durch die neue Executive Order dazu hinreißen lassen, personenbezogene Daten auch nur indirekt in die USA zu transferieren, warnt Datenfachmann Detlef Schmuck. Der Transfer dürfte seiner Einschätzung nach selbst bei einer Zustimmung durch das EU-Parlament nachträglich als grober Verstoß gegen die europäische Datenschutzgesetzgebung eingestuft werden.
Detlef Schmuck erinnert: „Beide bisherigen Ansätze eines transatlantischen Datenaustauschabkommens, Safe Harbor und Privacy Shield, sind vom EuGH gekippt worden. Alles deutet darauf hin, dass sich die europäischen Richter auch ein drittes Mal nicht von politisch motivierten Formulierungen täuschen lassen werden, wenn die US-Behörden faktisch den Datenschutz weiterhin mit Füßen treten.“ Sein Resümee: „Europäische Unternehmen sind weiterhin gut beraten, personenbezogene Daten konsequent innerhalb der EU zu halten, deutsche Firmen am besten innerhalb Deutschlands.“
An die Politik richtet der Experte den Appell, technische Maßnahmen zum Datenschutz zu fördern, die es für jedwede Behörde unmöglich machen, Einblick in die digitale Privatsphäre der Bürger zu nehmen. Dazu zählt Schmuck eine lückenlose Ende-zu-Ende-Verschlüsselung der Datenbestände mit einer sogenannten Zero-Knowledge-Architektur. Was auf den ersten Blick technisch klingt, bedeutet in letzter Konsequenz, dass ausschließlich der berechtigte Besitzer Zugang zu seinen Daten hat – sonst niemand. Da auch der Betreiber der Datendienste keine Zugangsschlüssel zu den Kundendaten besitzt („Zero Knowledge“), kann er diese selbst auf eine behördliche Anordnung hin nicht herausgeben. „Was man nicht hat, kann man nicht weitergeben“, sagt Schmuck lakonisch. Er weist auf einen weiteren immer wichtigeren Aspekt hin: „Cyberkriminelle können bei einer Zero-Knowledge-Architektur die Daten ebenfalls nicht in lesbarer Form erbeuten, weil sie keinen Schlüssel entwenden können, der nicht da ist.“
www.teamdrive.com