Konsequenzen aus Schrems-II-UrteilRegierung verweigert Auskunft zu Behörden-Software

Seit einem Jahr schon fehlt für viele Datenübertragungen in die USA eine Rechtsgrundlage. Bis heute kann die Bundesregierung nicht sagen, welche Konsequenzen sie aus dem Ende des Privacy-Shield-Abkommens zieht. Unterdessen verhandelt sie mit Microsoft über die Nutzung von Cloud-Diensten, deren Legalität in Frage steht.

Eine Datenreihe auf einem Bildschirm in verschiedenen Farben
Personenbezogene Daten dürfen nur unter bestimmten Bedingungen aus der EU in die USA übertragen werden. Markus Spiske on Unsplash

Seit einem Jahr dürfen personenbezogene Daten von Nutzern aus der EU nicht mehr ohne Weiteres in den USA gespeichert werden. Am 16. Juli 2020 hatte der Europäische Gerichtshof (EuGH) das Datenschutz-Abkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Die Massenüberwachung durch US-Geheimdienste und die verpflichtende Datenweitergabe von US-Unternehmen an sie sei nicht mit dem europäischen Datenschutzniveau vereinbar, entschied das Gericht. Ein Jahr danach weigert sich die Bundesregierung noch immer, bekanntzugeben, welche Bundesbehörden Software benutzen, die nicht mit dem Urteil vereinbar ist.

Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage des Linken-Abgeordneten Viktor Perli hervor. Demnach sind die Behörden selbst verantwortlich, Konsequenzen aus dem EuGH-Beschluss zu ziehen. Verstöße müssen dem Bundesbeauftragten für Datenschutz und Informationsfreiheit Ulrich Kelber gemeldet werden. Ob beides geschieht, prüft die Bundesregierung jedoch nicht, heißt es in der Antwort an Perli.

Statt konkreter Maßnahmen, um den rechtssicheren Einsatz von US-Diensten durch die Bundesregierung sicherzustellen, verweist sie in der Antwort lediglich auf ein Rundschreiben des Bundesdatenschutzbeauftragten aus dem Oktober 2020.

Schrems II-Urteil hat Folgen für Cloud-Anbieter

Ein gerade veröffentliches Gutachten des Wissenschaftlichen Dienstes des Bundestages betont unterdessen den Handlungsbedarf, insbesondere bei der Nutzung von Cloud-Diensten. Befinden sich ihre Server in den USA, dürfen die Daten europäischer Nutzer laut dem EuGH-Beschluss nur sehr eingeschränkt dort gespeichert werden. Das gilt auch für europäische Anbieter, die eine Tochtergesellschaft in den USA betreiben, wie zum Beispiel SAP.

Für Nutzerinnen und Nutzer ist diese Regel besonders relevant, weil einige Software-Anbieter ihre Produkte mittelfristig nur noch über eine Cloud organisieren wollen oder dies schon getan haben. Und die deutsche Bundesregierung verhandelt mit Microsoft über Cloud-Dienste für ihre Verwaltung.

Der Linken-Bundestagsabgeordnete Victor Perli fordert deshalb eine staatliche Cloud:

Die Ausarbeitung des Wissenschaftlichen Dienstes zeigt ganz klar, dass nur eine staatliche Cloud-Lösung das europäische Datenschutzniveau garantieren kann. Sobald Firmen mit US-Geschäft – wie zum Beispiel auch SAP – ins Spiel kommen, haben NSA und Co. auch Zugriff auf unsere Daten. Jetzt rächt sich, dass die EU-Länder bei der Digitalisierung jahrelang geschlafen haben. Microsoft kassiert regelmäßig staatliche Großaufträge in Millionenhöhe, weil es immer noch keine funktionierende europäische Cloud gibt. Die Regierung muss garantieren, dass die Daten der Bürgerinnen und Bürger absolut sicher sind und über Microsoft-Anwendungen in der Verwaltung keine persönlichen Informationen auf US-Server gelangen.“

Ob manchen Bundesbehörden und -Unternehmen bald Konsequenzen drohen, wird sich zeigen. Ulrich Kelber hatte jedenfalls schon im Oktober 2020 in einem Brief an alle betroffenen Institutionen geschrieben, dass er sich gezielte Befragungen vorbehält.

Das Urteil zum „Privacy Shield“ geht auf eine Klage des österreichischen Juristen Max Schrems zurück. Der Beschluss wird auch als Schrems II-Urteil bezeichnet. Der Jurist hatte 2015 auch gegen das Vorgängerabkommen „Safe Harbour“ geklagt und Recht bekommen. Doch zumindest Facebook und Google umgehen das Urteil so weit wie möglich. Die Unternehmen haben sogar zugegeben, weiter Daten in die USA zu übertragen, sie berufen sich auf die sogenannten Standarddatenschutzklauseln. Diese hatte der EuGh zunächst für zulässig erklärt. US-amerikanische Unternehmen dürfen die personenbezogenen Daten verarbeiten, wenn sie den europäischen Datenlieferanten garantieren, dass die Informationen angemessen geschützt sind, also durch vergleichbare Datenschutz-Regeln wie in der EU.

Nur in Ausnahmefällen dürfen Daten in die USA übermittelt werden

Doch selbst wenn es zugesichert wird, ist ein solches Datenschutz-Niveau in den USA nicht umsetzbar: Denn dort sind Unternehmen durch Überwachungsgesetze und aus Gründen der nationalen Sicherheit verpflichtet, persönliche Daten an die Regierung zu übermitteln.

Die europäische Datenschutz-Grundverordnung DSGVO sieht nur wenige Ausnahmefälle vor, in denen personenbezogene Daten aus Europa in die USA transferiert werden dürfen. Das ist zum Beispiel dann erlaubt, wenn die betroffene Person dem vorher ausdrücklich zugestimmt hat oder Verträge erfüllen muss. Auch aus „lebenswichtigen Interessen“ ist die Datenverarbeitung zulässig. Vorher muss aber in der Regel geprüft werden, ob die Daten von den US-Sicherheitsbehörden abgerufen werden können. Denn der EuGH hatte festgestellt, dass allein die Anwendung von Standarddatenschutzklauseln kein angemessenes Schutzniveau garantiert. Die Informationen müssten also zum Beispiel verschlüsselt übertragen werden. Genaue Vorgaben dazu, wie die Daten geschützt werden müssen, hatte der EuGH nicht gemacht.

8 Ergänzungen

  1. Wie schaut es eigentlich bei staatsnahen Konzernen wie der Deutsche Bahn AG aus? Meines Wissens sind die schon vor 5 Jahren in die Amazon-Cloud migriert so dass sie Rechenzentren konsolidieren konnten.

    Wieviel Prozent der Deutschen würde man inkl. persönlicher Daten und umfangreicher Bewegungsprofile kennen, wenn man per FISA-Anordnung Zugriff auf z.B. die CRM-Daten der DB AG in einem deutschen RZ bekäme?

    Die DB AG ist ja auch große Immobilienbesitzerin, deren Daten für Außenstehende vielleicht interessant sind ..

    1. Dasselbe gilt für kommunale Firmen die ausgegründet werden WIE Wasser, ÖPNV, Gas, Strom und Internet. Sind ja dann gerne GMbHs die auch gerne wie ihre Städtischen Verletzungen Cisco und Cloud Office und Windows benutzen

  2. Dieser Artikel lässt leider völlig außer Acht, das US Behörden amerikanische Firmen laut Gesetz auch zwingen ihnen Daten von Nicht US Bürgern, die in der EU gespeichert sind und sich in ihrem Zugriff befinden, auszuhändigen.
    Dies bedeutet im Klartext das jegliche Nutzung von amerikanischen Cloud-Diensten ohne unabhängige Verschlüsselung nicht DSGVO konform ist.

  3. Auf einen großer Teil der Clouds und Clouddienste haben US-Amerkianische Behörden zugriff, ob nun Hyperscaler wie AWS, Google Cloud oder Azure, CRM-Systeme, Marketingautomatisierung, Systeme zum Datenmanagement usw. On-Premise oder adäquate EU-Software gibt es nur noch selten.

    Das betrifft nicht nur Anbieter aus den USA oder mit US-Standort, sondern auch Dienste, die als Partner US-Amerikanische Firmen nutzen.

  4. Ausländer genießen in den USA von Verfassungs wegen kein Recht auf Privatheit:

    https://www.justsecurity.org/2668/foreigners-nsa-spying-rights/

    Ganz anders geht die EU mit der Menschenwürde von Ausländern um: Die genießen auch hier ein Recht auf Privatheit gemäß EU-Grundrechtecharta. In Deutschland schon seit Erlass des Grundgesetzes, weil es dort zur unveräußerlichen Menschenwürde gerechnet wird.
    Sind wir einfach doof?
    Nee, wir halten auch US-Bürger für Menschen.

  5. Es ist schon mehrfach gesagt aber ich will nochmal draufhauen: Welche Rolle spielt denn, wo ein Server geografisch steht, wo Daten gespeichert werden? Das ist doch eher ein Nebenschauplatz – warum wird das immer wieder so hochgehalten?

    Ich hab ’n Server in Frankfurt, der macht was ich will und speichert Daten. In Frankfurt war ich schon ein paar Jahre nicht mehr…

    Das ganze zeugt doch von erheblicher Inkompetenz der Gesetzgeber, Gericht aber eben auch leider auch von Redakteuren, die das wiederkäuen.

    1. Ich möchte mal – aus meinem rechtlichen Empfinden heraus – antworten:

      Es gilt das Recht, wo der Betreiber des betreffenden Datendienstes seinen Hauptsitz hat. (Das stimmt nicht in gänze: s. den Umstand, dass für die europäischen Nutzer der US-Datendienste die irische Datenschutzbehörde zuständig ist.)

      Wenn also ein US-Datendienst sagt: „Ich muss die Gesetze meines Landes einhalten.“, so muss der europäische Nutzer das hinnehmen.“

      Ich verweise ich auf den bereits am 26.06.2018 veröffentlichten Entschließungsantrag 2018/2645(RSP) des Europäischen Parlamentes
      (s.:
      http://www.europarl.europa.eu/doceo/document/B-8-2018-0305_DE.html
      ) , welcher nach meinen Informationen auch so beschlossen wurde.
      Dort wird, nach meinem Verständniss, grundsätzlich für alle(!) Datenströme zwischen der EU und den USA auf die Grundproblematik Bezug genommen:

      * Ebd. Punkt 22: Der der Massenzugriff auf personenbezogene Daten (das sind auch IP-Nummern) das US-Überwachungssystem „UPSTREAM“ wird namentlich benannt.

      * Auch die darauffolgenden Punkte der Resolution weisen auf grundlose Überwachung und Zugriff der US-amerikanischen Behörden (auf Basis des „CLOUD Act“) von Daten von Nicht-US-Bürgern hin:
      Die Sorge, welche hier durch die Resolution deutlich wird: Alle Daten, die ein US-Datendienstleistungsunternehmen auf Servern ausserhalb des Rechtsraumes der EU verarbeitet und speichert, können – gemäß den Hinweisen in der EU-Resolution – von US-Behörden grundlos(!!!) abgegriffen („abgeschnorchelt“) und weiterverarbeitet werden.

      * Ebenso kritisieren die EU-Abgeordneten in den
      folgenden Punkten, u.a.:
      „[…] das die NSA [in Bezug auf das Präsidialdekret 12333] das Recht erhält, umfangreiche private Daten, die ohne Durchsuchungsbefehle, gerichtliche Anordnungen oder Ermächtigungen durch den Kongress erhoben wurden, an 16 andere Stellen, darunter das FBI, die Rauschgiftbehörde und das Heimatschutzministerium, weiterzugeben. […]“

      * Auch die weiteren Punkte kritisieren das (damals noch geltende) Privacy-Shield-Abkommen bzw. die div. in den USA geltenden Dekrete bzw. Abkommen als mit der Datenschutz-Grundverordnung problematisch bzw. nichtvereinbar.

      Und – natürlich – gilt ja jetzt das oben bereits angesprochene „Schrems-II“-Urteil.

      Dazu hat der BfDI Kelber am 8.10.2020 ein entsprechendes Dokument veröffentlicht:

      https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2020/Rundschreiben-Informationen-Schrems-II.pdf

      Darin heißt es:
      „[…]
      Personenbezogene Daten dürfen nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) nur dann an ein Drittland übermittelt werden, wenn dort für die Verarbeitung der Daten ein angemessenes Schutzniveau gewährleistet ist.

      Der Maßstab für dieses Schutzniveau ergibt sich aus Kapitel V (Art. 44 ff.) DSGVO.
      […]
      Mit dem Urteil in der Rechtssache C-311/18 „Schrems II“ hat der EuGH bestätigt, dass personenbezogene Daten, die in ein Drittland übermittelt werden, im Lichte des von der Charta der Grundrechte der Europäischen Union garantierten Schutzniveaus dort einen im Wesentlichen gleichwertigen Schutz wie unter der DSGVO genießen müssen.
      […]
      Für die USA hat der EuGH dabei ein im Wesentlichen gleichwertiges Schutzniveau verneint.
      Demzufolge sind nicht nur die Übermittlungen unter dem durch das Urteil für unwirksam erklärten Datenschutzschild („Privacy Shield“) betroffen, sondern auch alle anderen geeigneten Garantien aus Kapitel V der DSGVO einschließlich der Verwendung von Standarddatenschutzklauseln und BCR.
      […]“
      Das Schreiben des BfDI gilt – natürlich – nur für die Adressaten:
      „An die öffentlichen Stellen des Bundes und Unternehmen unter der Aufsicht des BfDI“.

      Wie oben geschrieben: Das ist meine ganz persönliche Auffassung.

    2. Das hat deswegen eine Relevanz, weil es am Ende immer darauf hinausläuft, dass ein SEK oder SWAT Team in ein Rechenzentrum reinrockt und den Server samt Storage zurück auf die Polizeiwache trägt.

      Es gibt da einen einleuchtenden Merksatz:
      »There is no cloud! There is just somebody else’s computer.«

      Derjenige, der Maschine kontrolliert, kontrolliert ultimativ auch die Daten und Datenflüsse. Ein Netzwerkkabel lässt sich immer abziehen, eine Platte immer ausbauen. Ende der Geschichte.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.