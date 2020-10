Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in Luxemburg das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau gemäß der DSGVO sicherstellt. Insbesondere stehe in den USA kein klar definierter Rechtsweg zur Durchsetzung der im europäischen Unionsrecht verankerten Rechtsgarantien zur Verfügung.

Das Urteil hat unmittelbare Gültigkeit. Damit sind alle betroffenen Datenübermittlungen, die auf Basis des Privacy-Shield-Abkommens bis dahin durchgeführt wurden, ab der Urteilsverkündung rechtswidrig. Die Strafen für Unternehmen, die weiterhin den Datenaustausch praktizieren, können sehr hoch sein, da das Gericht ausdrücklich auch immaterielle Schäden als Grund für eine Forderung nach Schmerzensgeld als zulässig ansieht. Hinzu kommt der Imageschaden für das jeweilige Unternehmen.

Auch Kleinunternehmen, die davon ausgehen, dass ihre Firma nicht von der speziellen Problematik des Datenaustauschs mit den USA betroffen ist, weil beispielsweise keine US-Geschäfte getätigt werden und folglich auch keine Daten mit US-Unternehmen ausgetauscht werden, können betroffen sein. Der Grund: Viele Cloud-basierte SaaS-Dienste, wie E-Mail, CRM oder ERP sind bei US-Firmen angesiedelt und allein die Nutzung dieser Dienste beinhaltet dem Urteil zufolge bereits als Datentransfer.

Schon seit 2018 keine Rechtssicherheit

Das EuGH-Urteil kam für die meisten Betroffenen nicht unerwartet. Das Privacy-Shield-Abkommen wurde von Anfang an stark kritisiert, weil die Übermittlung personenbezogener Daten in die USA schon seit geraumer Zeit eine juristische Grauzone darstellt. Das geht auf das im März 2018 erlassene US-Gesetz "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) zurück, das den Privacy Shield von Anbeginn untergraben hat.

Der CLOUD Act verpflichtet US-Unternehmen, alle unter ihrer Kontrolle, in ihrer Obhut oder in ihrem Besitz befindliche Daten auf Anforderung an US-Behörden zu übergeben - und zwar oft ausdrücklich auch ohne richterlichen Beschluss. Der CLOUD Act steht damit in krassem Gegensatz zur DSGVO. Für EU-Bürger gab es also keine effektive Möglichkeit, gegen das Unterlaufen des Privacy Shields durch eine US-Behörden vorzugehen.

Einzelvereinbarungen sind keine Lösung

Über 5.000 US-Firmen, darunter alle bekannten großen Cloud-Anbieter, hatten sich zur Einhaltung der Vorgaben des Privacy Shields verpflichtet. Entsprechend groß war das Entsetzen über das Urteil. US-Berater rieten umgehend zum Abschluss von Standardvertragsklauseln (SVK, engl. Standard Contractual Clauses, SCC), denn solche Vereinbarungen können die europäischen Unternehmen mit den Anbietern aus Drittländern nach wie vor abschließen. "Ich kann allen betroffenen Firmen nur eindringlich raten, schnellstmöglich entsprechende SVKs einzurichten", schrieb Gartner-Analyst Bart Willemsen kurz nach dem Urteil in seinem Blog.

Das stimmt zwar prinzipiell und vielfach werden die SKVs auch weiterhin als Alternative zum gekippten Privacy Shield angeführt. Doch bei genauerem Hinsehen erweist sich diese Praxis als nicht sehr wasserdicht. Denn beim Abschluss von SVKs müssen die Beteiligten auf Basis der Ausführungen des Luxemburger Urteils bereits vor der ersten Datenübermittlung prüfen, ob im Exportland "staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen". Sollte das zutreffen - wovon im Fall der USA immer auszugehen ist - könnten auch SVKs einen Transfer nicht rechtfertigen und bereits ins Drittland übermittelte Daten müssen umgehend zurückgeholt werden.

"Jetzt ist die Stunde der digitalen Eigenständigkeit Europas"

Die Berliner Landesbeauftragte für den Datenschutz, Maja Smoltczyk, meldete sich schon kurz nach der Urteilsverkündung mit einer klaren Ansage zu Wort: "Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen."

Smoltczyk geht davon aus, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten. "Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen", so Smoltczyk.

Ähnlich äußerte sich der stellvertretende Vorsitzende des Bundesverbandes IT-Sicherheit (TeleTrusT), Karsten Bartels, in einer Pressemeldung: "Wer alle Risiken vermeiden möchte, wird auf eine Verarbeitung innerhalb Europas unter ausschließlicher Kontrolle europäischer Unternehmen bestehen müssen", lautet sein eindringlicher Appell. Mit anderen Worten: Nur bei den Cloud-Anbietern, die ihren Sitz innerhalb der Europäischen Union haben und dort die Daten verarbeiten, sind Privatsphäre, Betriebsgeheimnisse und persönliche Informationen tatsächlich sicher aufgehoben.

Am sichersten bei einem europäischen Provider

Die Cloud Compute Engine von IONOS cloud ist eine solche Lösung. Sie ist hundertprozentig DSGVO-konform, denn alle Daten werden in den nach ISO 27001 zertifizierten Hochleistungsrechenzentren innerhalb Europas gespeichert - und das schafft eine Rechtssicherheit ohne Wenn und Aber. "Unsere Kunden sind auf der absolut sicheren Seite, denn für einen Datentransfer in die USA besteht überhaupt keine Notwendigkeit", sagt Achim Weiß, CEO bei IONOS, nicht ohne Stolz.

Und er bestätigt es nochmals klipp und klar: "Die IONOS cloud bietet maximale Sicherheit vor dem US CLOUD Act. Und diesen Vorteil spielen wir als deutsches Unternehmen mit unseren Rechenzentren im Inland voll aus."

IONOS cloud: Die europäische Cloud-Alternative für maximale Datensicherheit