Transatlantisches Daten-DilemmaDas Privacy-Shield 2.0 ist zum Scheitern verurteilt

Und täglich grüßt das Murmeltier: Die USA versprechen, die Daten von EU-Bürger:innen künftig besser zu schützen, wenn Europa nur endlich grünes Licht für unkomplizierte Datenausfuhren gibt. Doch einen Ausweg aus dem Daten-Dilemma wird es nur geben, wenn Europa seine digitale Abhängigkeit von den USA reduziert. Ein Kommentar.

Eine Frau und ein Mann, lachend, vor Fahnen der USA und EU
EU-Kommisionspräsidentin Ursula von der Leyen, und U.S-Präsident Joe Biden am 25. März in Brüssel. – Alle Rechte vorbehalten xAdamxSchultz/WhitexHousex

Das ging jetzt schnell: Die EU-Kommission und die US-Regierung sollen sich in wesentlichen Punkten einig sein, auf welcher rechtlichen Grundlage Unternehmen in den USA künftig Daten von EU-Bürger:innen verarbeiten dürfen. Dabei hieß es bis vor kurzem noch aus EU-Kreisen, dass ein Ergebnis nicht in Sicht sei. Tatsächlich stehen die Details noch gar nicht fest, aber es gibt zumindest eine politische Einigung, heißt es in einer gemeinsamen Erklärung von Kommissionspräsidentin von der Leyen und US-Präsident Biden.

Wer das Statement zum Trans-Atlantic Data Privacy Framework liest, erlebt unweigerlich einen „Und täglich grüßt das Murmeltier“-Moment. Wieder versprechen die USA, die Massenüberwachung durch ihre Geheimdienste einzuschränken. Wieder kündigen sie an, einen wirksamen Beschwerdemechanismus für EU-Bürger:innen einzurichten. Und wieder wird es in den USA weder Gesetzesänderungen noch einen bindenden Vertrag mit der Europäischen Union geben.

Mehr scheint politisch in den USA nicht durchsetzbar – EU-Bürger:innen könnten sonst womöglich besser geschützt sein als die eigene Bevölkerung. Deshalb will Biden die Maßnahmen mit einer Executive Order umsetzen, also mit einem präsidialen Dekret, das sehr leicht wieder kassiert werden kann.

Zuletzt hatte nicht nur die US-Seite erheblichen Druck ausgeübt, sondern auch europäische Unternehmen und Industrieverbände, die unter anderem von den US-Cloud-Dienstleistern abhängig sind. Dass es seit bald zwei Jahren keine solide Rechtsgrundlage für den transatlantischen Datenverkehr gibt, bedeutet für alle Beteiligten erhebliche Rechtsunsicherheit.

Spätestens seitdem europäische Datenschutzbehörden kürzlich angefangen haben, den Einsatz von weit verbreiteten Diensten wie Google Analytics aufgrund der fehlenden Rechtsgrundlage zu untersagen, wächst der Druck. Inzwischen ist er offenbar so groß, dass sich die EU erneut auf einen Deal einlassen könnte, der einer gerichtlichen Prüfung wieder nicht standhalten wird.

Nicht mit EU-Recht in Einklang zu bringen

Zur Erinnerung: Damit Unternehmen Daten von EU-Bürger:innen unkompliziert in die USA ausführen können, braucht es eine Entscheidung der EU, dass das Datenschutzniveau im Zielland dem europäischen Standard entspricht. Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien, auch für die USA gab es sie schon zwei mal. Doch der europäische Gerichtshof hat sie nach Klagen des Aktivisten Max Schrems beide Male kassiert und dabei eigentlich eine deutliche Sprache gesprochen: Rechtslage und Überwachungspraxis in den USA sind nicht mit dem europäischen Datenschutz in Einklang zu bringen.

Schließlich weiß die Weltöffentlichkeit seit den Snowden-Enthüllungen nicht nur, dass US-Gesetze wie der Patriot Act und der Foreign Intelligence Surveillance Act Geheimdiensten weitgehenden Zugriff auf die Daten von Ausländer:innen gestatten, sondern auch, dass sie von diesen Möglichkeiten in erheblichem Maße Gebrauch machen. Diese Tatsache wollten die USA abmildern, indem sie den Europäern Privacy-Versprechen mit den wohlklingenden Namen „Safe Harbor“ und „Privacy Shield“ machten. Unternehmen konnten sich selbst zertifizieren, wenn sie versprechen, nach den Regeln zu spielen.

Das Safe-Harbor-Arrangement überdauerte immerhin von 2000 bis 2015, das Privacy Shield hielt nur von 2016 bis 2020. Insbesondere dessen Scheitern war eine rechtspolitische Blamage epischen Ausmaßes. Und zwar mit Ansage. Aktivist:innen, Rechtswissenschaftler:innen und Datenschutzbehörden hatten wiederholt darauf hingewiesen, dass es lediglich Safe Harbor in neuem Anstrich ist und die Zusicherungen der US-Regierung nicht ausreichen, um die Anforderungen des EuGH zu erfüllen.

Gefangen im Daten-Dilemma

Die EU-Kommission droht unter dem Druck nun offenbar, den gleichen Fehler wie 2016 zu machen. Zwar verspricht die US-Seite dieses Mal ernsthaftere Bemühungen beim Datenschutz für EU-Bürger:innen. Doch solange es nur um Versprechen oder eine präsidiale Anordnung geht und nicht um verbindliche Verträge oder Gesetze, sind sie das Papier nicht wert, auf dem sie stehen. Fraglich bleibt auch, wie der angekündigte Mechanismus aussehen soll, mit dem EU-Bürger:innen ihre Rechte gegenüber US-Geheimdiensten durchsetzen sollen.

Dass die USA nicht bereit sind, diese an die Leine zu nehmen, bringt die EU-Kommission in ein echtes Dilemma. Denn obwohl die Europäische Union einer der wertvollsten Datenmärkte der Welt ist, kann sie ihre eigenen Regeln nicht durchsetzen. Zu groß ist die Abhängigkeit von der digitalen Service-Infrastruktur aus Übersee. Die EU muss sich entscheiden zwischen Werten und Wertschöpfung, das Ergebnis scheint ausgemacht. Max Schrems jedenfalls hat bereits angekündigt, im Zweifelsfall ein weiteres Mal zu klagen.

So rächt es sich einmal mehr, dass die Europäische Union in den letzten Jahren so wenig getan hat, um europäische Alternativen zu fördern. Digitale Dienste aus den USA zu regulieren, wie es mit dem Digital Services Act und dem Digital Markets Act derzeit passiert, ist richtig. Wichtig um nicht mehr der Willkür der USA ausgesetzt zu sein, wäre es jedoch auch, selbst Infrastrukturen aufzubauen. Wenn Europa hierbei von Beginn auf Open Source und Geschäftsmodelle jenseits des Überwachungskapitalismus legt, wäre das zur Abwechslung mal ein politisches Projekt von epischem Ausmaß.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. „Fraglich bleibt auch, wie der angekündigte Mechanismus aussehen soll, mit dem EU-Bürger:innen ihre Rechte gegenüber US-Geheimdiensten aussehen soll. “ :
    — Da will ich folgendes: ——————————————————————————————–
    1. Edward Snowden als geachteten Verfassungsverteidiger unbeschwert und frei in die USA zurückkehren lassen ( => Whistleblowerschutz in den USA als Fehlerkorrektur etablieren);
    2. Die Urteile des EUGH müssen aufrichtig gelten
    (ich kenne nichts Kostbareres aus meiner EU als diesen wirklich unabhängigen, kostbaren, und unsere Grundrechte verteidigenden multinationalen Gerichtshof: die USA würde davon profitieren, dessen Urteile zu respektieren / umzusetzen, – gegenüber EU-Bürgern, – aber gern auch gegenüber allen).

    1. EU-Buerger ausserhalb der USA haben keinerlei Rechte gegenueber US-Geheimdiensten. Weder im Bezug auf Datenschutz noch im Bezug auf irgendetwas anderes. Siehe zB CIA rendition flights.

  2. Wer schonmal mit einer globalen US-Firma zu tun hatte, kennt Bidens Perspektive:

    – die US-Loesung ist die globale Loesung

    – wenn die globale Loesung irgendwo nicht funktioniert, ist das ein dort lokal zu verantwortendes und zu loesendes Problem

    – globales Management sind US Manager, denn die denken und handeln (per Definition, s.o.) immer perfekt global und global perfekt

    – Biden hat kein Problem, vdL hat ein Problem

    1. Diese Perspektive kann ich auch nur bestätigen (ich teile sie inhaltlich natürlich nicht).

      Habe gerade letztens in einem Artikel eines US-Autors über die Unbilden des US-amerikanischen College-Systems folgenden Satz gelesen: „the time is there for the World to get a new college system…“. „The World“, aha…

      Darunter läuft bei den US-Amerikanern mental einfach nichts. Und das macht diese Leute in internationalen Abmachungen (auch im rein wirtschaftlichen Bereich) einfach unzuverlässig und nicht satisfaktionsfähig.

  3. Mir ist es unverständlich, dass die EU da nicht mehr Druck macht. (Dass vdL selbst nichts auf die Kette bekommt, ist für mich dagegen völlig nachvollziehbar.)

    Ich meine, man sollte Bidens persönliches Erscheinen bei diesem Deal nicht unterbewerten. Wenn die USA die EU bei den Eiern hätten (bzgl. der Abhängigkeit von Alphabet und co.), würden sie einfach einen Unterhändler schicken.

    1. Auch die derzeitige EU-Kommission hat keinerlei Interesse daran, Druck zu machen.

      – Bezueglich Datenschutz erhofft man sich zumindest ein bisschen Zugriff auf Erkenntnisse der US-Dienste und damit mehr Ueberwachung der eigenen Buerger als direkt moeglich

      – Bezueglich der markbeherrschenden Konzerne will man natuerlich moeglichst grosse Konzerne haben, denn wie man mit denen zum eigenen Vorteil umgeht weiss man ja

      – Bezueglich der Plattformen erhofft man sich noch immer, deren gut gefuellte Taschen fuer das eigene Verleger-Klientel anzapfen zu koennen, dafuer braucht man aber Praesenz

      – Bezueglich des Verhaeltnisses zu den USA sieht man sich in transatlantischer Treue als lokaler Statthalter, Unabhaengigkeit ist nur als Vorwand zum Transfer oeffentlicher Gelder an Konzerne gefragt

      1. Die USA kann das uebrigens mit minimalem Aufwand ad infinitum durchziehen: ein Praktikant updated das an einem Nachmittag auf „Privacy Shield n+1“, die EU durchlaeuft ihr Verfahren und verliert am Ende mit „Schrems n+2“, die EU-Kommission telefoniert mit dem Weissen Haus und laesst sich zum dann zustaendigen Praktikanten durchstellen, repeat. Die Wirtschaft muss halt ihre Formulare regelmessig updaten, aber das ist verschmerzbar.

  4. Ich finde da sollte auch mal geschaut werden, was mensch selber so nutzt und ob das mit US-Diensten verbandelt ist. Ist schon ganz interessant, wenn mensch sich das anschaut. Abgesehen von den Produkten, die sehr obvious dabei sind, gehören z.B. auch Signal, Telegram, die Deutsche Bahn (https://m.dw.com/de/deutsche-bahn-schaltet-eigene-rechenzentren-ab-cloud-server-amazon-microsoft/a-55417521 , okay da kann individuelles Verhalten wirklich nichts bewirken), Letsencrypt und Cloudflare dazu.

  5. Ich hab dazu grade folgendes Bild im Kopf.

    Sancho Pansa will in der EU Opensource Infrastruktur aufbauen und nur in Frieden leben.
    Don Quichotte kämpft lieber weiter gegen die Windmühlen, u.a. die des Großen Bruders.

    Die Frage wer hier jetzt welche Figur imitiert stellt sich nicht weil die Akteure gerne mal das Mäntelchen wechseln oder schlicht ausgewechselt werden. Und so bleibt der Rest der Welt mit verwirrten Gesichtsausdruck am Staubigen Straßenrand zurück und kann sich nur ein WTF fragen.

    Es gibt keine Lösungen mehr – nur noch Probleme! Eine „Wertegemeinschaft“ erkennt man nur noch wenn ein Währungssymbol dahinter steht.

    1. … ähh Nachtrag: Wertegemeinschaft… oder wenn jemand drüben den „Nationale Sicherheit“ Stempel schwingt…

      Und, es tut mir selbst am meisten Leid: Trotz des Datums (1.April) ist das bitter-ernst.

      Warum tun wir das nicht auch mal. DE und EU-Weit einfach sagen: Die Übermittlung persönlicher Daten an die Datenunsichere USA beschädigt unsere Nationale/Kontinentale Sicherheit – uund Schluß mit Transfers.

      Sollen sie die Daten im EU-Raum nach EU-Recht verarbeiten oder… Datenransfer-zoll bezahlen. Ein Trump wer böses dabei denkt aber hey: Finanztransaktionssteuer ist genau so ein Rotes Tuch. Wenn am DE-CIX schon der Traffic nach Arten gezählt werden kann, dann auch nach routen/richtungen.
      Es darf nur kein Deutscher Amtsschimmel auf die Idee kommen eine Datenzollbehörde mit Menschlichen Entscheidern ein zu richten. (Das war jetzt mein Aprilscherz) :-)

      1. Im transatlantischen Verständnis dient alles den US-Interessen dienende der europäischen Sicherheit. Die USA werden dort als „europäische Macht“ gesehen und explizit gewollt. US-Politiker kommen aus dem Lachen nicht mehr raus, aber nehmen das natürlich gerne mit.

        Wer sich Transatlantikbrücke und ähnliches anguckt, sieht auch, dass die klug durch praktisch alle etablierten Parteien und Medien investieren.

  6. Es ist doch einfach. Die Behörden müssen nur endlich exemplarisch anordnen, dass US-Produkte eben nicht grundrechtskonform einsetzbar sind. Das EuGH-Urteil SchremsII ist doch da.
    Ja, die Behörden müssen das gerichtsfest machen. Eine Behörden bzw. ein Unternehmen, bei dem sich ein lohnabhängiger mal beschwert hat, ist doch bestimmt da, welche gar nicht auf die Umsertzung von SchremsII achten (gerade in Zeit von US-Tools im Zuge von HomeOffice)….es müsste endlich ein erste Abschaltung wegen SchremsII geben.., das würde etwas in Gang setzen

  7. Sarkastisch ausgedrückt: Nicht Privacy-Shield 2.0 ist zum Scheitern verurteilt; die Kritik daran ist zum Scheitern verurteilt.

    Es verstecken sich so viel Geschäftsmodelle und Geldmacherei hinter dem ‚freien, transatlantischen‘ Datenfluß (es geht hier wirklich nur um eine Richtung), das sich die Diskussion erledigt. Kapitalismus wird nie auf Grundrechte achten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.