Von Experten wurde es bereits vorhergesagt, seit letzter Woche ist es Fakt: Der Europäische Gerichtshof (EuGH) hat das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig erklärt. Er gab damit der Klage des österreichischen Datenschutzaktivisten Max Schrems Recht, der bereits seit mehreren Jahren gegen die Firma Facebook zu Felde zieht.
Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der DSGVO, nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden.
Auswirkungen hat diese Entscheidung nicht nur für Social Network-Anbieter wie Facebook, sondern natürlich auch für Cloud Computing Anbieter mit Sitz in den USA – und davon gibt es ja eine ganze Menge. Max Schrems geht selbst davon aus, dass 5000 Unternehmen mit Sitz in den USA direkt von vom EuGH-Urteil betroffen sind.
Wie üblich bei solch weitreichenden Entscheidungen ließen dann auch die ersten Statements nicht lange auf sich warten.
Wenig überraschend zeigte sich Max Schrems, der das Ganze ja erst ins Rollen gebracht hat, sehr zufrieden mit der Entscheidung. Er wird zitiert mit den Worten: “Ich bin sehr glücklich über das Urteil. Es scheint, dass der Gerichtshof uns in allen Aspekten gefolgt ist. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine wichtige Rolle auf dem EU-Markt spielen wollen.”
Weniger begeistert EuGH-Urteil reagierte der Branchenverband eco. eco Geschäftsführer Alexander Rabe erklärte in einer ersten Stellungnahme: “Nach Safe Harbour wurde heute mit dem EU-US – Privacy Shield nun also auch das zweite internationale Abkommen für den Transfer personenbezogener Daten zu Drittstaaten kassiert und die Unternehmen werden so erneut mit großer Rechtsunsicherheit konfrontiert: Dieses Urteil hat fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind.”
Und auch von Anbieterseite gab es kurz nach Bekanntgabe des Urteils erste Statements. Tobias Gerlinger, CEO und Managing Director von ownCloud, kommentierte das Urteil: „Der heutige Tag ist ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist.“
In eine ähnliche Richtung argumentierte Henrik Hasenkamp, CEO des Kölner IaaS- und PaaS-Anbieters gridscale: “Der Entschluss die ‘Privacy Shield’ Verordnung für ungültig zu erklären, zeigt erneut, dass die Datenschutzbestimmungen der USA nicht mit dem europäischen Datenschutzniveau vereinbar sind. Der Umgang mit personenbezogenen Daten ist im europäischen Raum durch die Europäischen Datenschutz-Grundverordnung (DSGVO) besonders streng geregelt. Ebenfalls betroffen ist der Datentransfer in und aus der Cloud. Gerade jetzt ist es wichtig sich über die Risiken bei der Nutzung eines US-Cloud-Anbieters bewusst zu sein. Lokale Anbieter auf Basis der DSGVO stellen dabei sichere und spezialisierte Anwendungen zur Verfügung.”
“Wer als Verantwortlicher in einem Unternehmen angesichts dieser unsicheren Rechtslage weiterhin personenbezogene Firmendaten bei einem US-Anbieter speichern lässt, muss sich unter Umständen grob fahrlässiges Verhalten vorwerfen lassen”, erklärte TeamDrive-Geschäftsführer Detlef Schmuck in einer ersten Reaktion auf das Urteil und formuliert etwas überspitzt: “Das EuGH-Urteil stellt die USA in Bezug auf den Datenschutz im Grunde auf eine Stufe mit sagen wir China, Nordkorea und Namibia.” Schmuck hatte bereits im Vorfeld prognostiziert, dass das EuGH-Urteil so ausfällt. Er erklärt weiter „Wir haben das Urteil erwartet und daher unsere Supportkollegen aus dem Urlaub zurückgerufen.“ TeamDrive hat nämlich ein neues Migrationsprogramm gestartet für Unternehmen, die davon betroffen sind, dass der Europäische Gerichtshof (EuGH) das transatlantische Datenschutzabkommen EU-US Privacy Shield für ungültig erklärt hat.
Rechtsanwalt Christian Solmecke erklärt in einer ersten Stellungnahme auf der Webseite seiner Kanzlei, dass das Urteil “eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC)” sei und erklärt weiter: “Weitreichende Folgen hat das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben.”
Ich habe bereits mehrfach gegoogelt, aber bis jetzt noch kein Statement von amerikanischer Seite (Verbänden, Unternehmen, Politik) gefunden. Über die Gründe – andere Prioritäten z.B. Corona, Ausschreitungen und Wahlkampf bzw. blankes Entsetzen, Kopfschütteln oder gar Desinteresse über das Urteil – kann derzeit nur spekuliert werden.
Fazit: Herrn Schrems kann man auf jeden Fall Durchhaltevermögen und ein gutes Urteilsvermögen über die Entscheidungen des EuGHs bescheinigen: Ich habe ein Interview mit ihm von 2016 gefunden, in dem er ein Scheitern des Privacy Shield – die Vereinbarung war damals gerade erst geschlossen worden – vorhersagte.
Link zum Video: https://youtu.be/EdCmpmL1UJk
Dass es dann vier Jahre gedauert hat, liegt wohl an den Mühlen der Justiz, die ja bekanntlich langsam mahlen.
Auf der anderen Seite teile ich natürlich die Sorge von Herrn Rabe und die Einschätzung von Herrn Solmecke: Das Urteil sorgt erneut für große Rechtsunsicherheit und führt zu weitreichenden Folgen für die Unternehmen, die sich bisher auf die Regelung verlassen haben.
Dass deutsche Cloud Service Provider wie die eingangs genannten eine gewisse Genugtuung empfinden, ist verständlich. Auf der anderen Seite muss sich nun natürlich zeigen, wie sich die EuGH-Entscheidung auf den Wettbewerb auswirkt. Fliehen nun alle Kunden der großen Hyperscaler in den Schutz deutscher und europäischer Wettbewerber? Können diese dem Ansturm überhaupt Herr werden? Eine Urlaubsrückholaktion wie bei TeamDrive wird da wohl nicht ausreichen. Es muss ja einen Grund geben, weshalb es den Microsofts, Googles, Amazons und Alibabas gelang, eine so dominante Marktposition zu erreichen. Gerade wenn ich an Microsoft denke, erinnere ich mich noch gut an manche Expertenaussage von vor einigen Jahren, das Unternehmen habe den Cloud-Zug verschlafen. Nicht schlecht geschlafen, kann ich da nur sagen, wenn man sich den aktuellen Markt betrachtet.
Am wichtigsten ist natürlich die Frage, wie das Ganze nun politisch und juristisch weiter geht? Ich wage an dieser Stelle zumindest zwei Prognosen:
„Was also tun?“ werden sich nun viele Verantwortliche in deutschen Unternehmen fragen, die vor der Herausforderung stehen, zu entscheiden, ob und welche Cloud Services sie zukünftig nutzen. Zuerst einmal besteht die Möglichkeit, einen Cloud Service Provider zu suchen, für den das EuGH-Urteil zuerst einmal gar keine Bedeutung hat. Dies gilt zum Beispiel für Cloud Computing-Anbieter aus Deutschland, die ihre Daten NICHT über den großen Teich schicken. Deutsche Cloud Services Provider unterliegen damit keinem Privacy Shield, sie sind auch nicht gezwungen, auf Grund des Cloud Act Daten an US-Behörden und Geheimdienste herauszugeben. Stattdessen gilt für sie die Datenschutzgrundverordnung (DSGVO).
Wo suchen? Verzeichnisse wie der Lösungskatalog der Initiative Cloud Services Made in Germany (https://www.cloud-services-made-in-germany.de/loesungskatalog) bieten für die Recherche eine gute Grundlage. Dort sind mittlerweile mehr als 250 Lösungsanbieter gelistet, die nahezu jeden Anwendungsbereich abdecken und darüber hinaus auch zahlreiche Branchen- und Speziallösungen anbieten.