Transatlantischer Datenschutz: Bidens neuer Anlauf stößt auf massive Kritik
Daten als Mega-Produkt im digitalen Kapitalismus könnten den Traum von totaler Kontrolle durch Konzerne und Regierungen wahr werden lassen. Bild: John Voo / CC BY 2.0
Ein Erlass von US-Präsident Biden soll die Rechtsunsicherheit bei der Nutzung von US-Cloud-Technologien in der EU beseitigen. Doch Kritiker bemängeln, dass Geheimdienste weiter auf personenbezogene Daten von EU-Bürger:innen zugreifen könnten. Was muss sich ändern?
Safe Harbour, Privacy Shield… die Abkommen zum transatlantischen Datenschutz waren eine Reihe von Misserfolgen. Immer wieder scheiterten sie an der Grundproblematik, dass sich der Datenschutz, den die EU ihren Bürgern in der DSGVO (Datenschutzgrundverordnung) garantiert, nicht mit dem "Cloud Act" in Einklang bringen.
Dieser legt die Befugnisse und Praktiken der US-Geheimdienste in puncto Datensammlung fest. Diese Diskrepanz hat vor allem Einfluss auf die Nutzung von US-Cloud-Technologie. Es herrscht seit dem "Schrems II"-Urteil des EuGH (Europäischer Gerichtshof) aus dem Jahr 2020 Rechtsunsicherheit, ob die Nutzung von US-Cloud-Anbietern für personenbezogene Daten überhaupt rechtens sei. Einige Datenschützer verneinen diese Frage, was in Folge dazu führt, dass etwa die Vergabekammer Baden-Württemberg die Nutzung von US-Clouds in öffentlichen Projekten jüngst unterbunden hat.
Betrachtet man die Verbreitung und Beliebtheit der US-Cloud-Technologie, wird schnell klar, dass der aktuelle Zustand nicht Bestand haben konnte. Zu groß ist das Interesse an diesen technologisch und wirtschaftlich attraktiven Angeboten. Nun soll eine "Executive Order", also eine Dienstanweisung des US-Präsidenten Joe Biden, einem neuen Anlauf zugrunde liegen.
Schon im März 2022 hatten Präsidentin der EU-Kommission Ursula von der Leyen und der US-Präsident eine solche Übereinkunft angekündigt. Im Oktober folgte dann die Executive Order Bidens. Sie soll Abhilfe schaffen bei den Punkten, welche der EuGH in "Schrems II" kritisiert hatte.
Massenüberwachung und fehlender Rechtsweg kippten "Privacy Shield"
Wie kam es überhaupt zu dieser Situation? Es waren vor allem zwei Aspekte, bei denen der EuGH in "Schrems II" die Rechte der Bürger verletzt sah: Zum einen bemängelte er das unangemessen breite Mandat der Geheimdienste, Daten zu sammeln. Dieses müsse vielmehr auf das Minimum beschränkt werden. Zum anderen fehle den Betroffenen ein Rechtsweg, um gegebenenfalls Ansprüche geltend zu machen.
Die in den USA geltenden Datenschutzrechte für Nicht-US-Bürger entsprechen damit nicht dem Niveau derer in der EU, sodass die USA nicht in die Liste der Länder aufgenommen werden können, für die ein sogenannter "Angemessenheitsbeschluss" gilt.
Ein Angemessenheitbeschluss gibt rechtliche Sicherheit, Daten in das entsprechende Land zu transferieren. An diesem Beschluss hing also die rechtssichere Nutzung von Cloud-Angeboten. Bidens Executive Order soll der EU-Kommission, welche die entsprechende Beschlusskraft hat, ein Argument geben, die USA aufzunehmen.