Damoklesschwert über der Cloud-Nutzung

Entlassungen beim PCLOB gefährden transatlantischen Datenaustausch

Die Nutzung außereuropäischer Cloud-Angebote ist seit gut zehn Jahren ein heikles Thema. Zahlreiche Diskussionen um den Datenschutz bei Microsoft 365, die Einhaltung der DSGVO generell und den Standort von Rechenzentren haben sich daran entzündet. Die EuGH-Urteile »Schrems I« und »Schrems II« haben diese Diskussionen jeweils hochkochen lassen – und neue Regelungen erforderlich gemacht.

Bisher war die Lage aber trotz einiger Unklarheiten und einiger transatlantischer Differenzen in Bezug auf das, was Datenschutz und Privatsphäre eigentlich sind, immer noch handhabbar: Schließlich hatte man im Hintergrund das gemeinsame Interesse, dass es irgendwie funktionieren soll und gab sich daher bei der Auslegung der Regelungen und Ahndung von Verstößen relativ großzügig.

Trump auf Konfrontationskurs mit der EU

Diese Zeit scheint jetzt vorbei zu sein. Denn die US-Regierung unter Präsident Trump fährt auch der EU gegenüber einem harten Kurs. Kompromisse sind nicht erwünscht. Ein Schritt, der zunächst lediglich als einer von vielen rigorosen Sparmaßnahmen in US-Behörden erscheint, verdient in dem Zusammenhang besondere Aufmerksamkeit: die Entlassungen beim »Privacy and Civil Liberties Oversight Board« (PCLOB) im Januar.

Mit seiner Ankündigung vom 21. Februar schlägt das Weiße Haus einen klaren Konfrontationskurs gegen die EU ein und verschärft den Ton. (Screenshot: ECMguide.de)

Das Gremium hat vielfältige Aufgaben und kontrolliert vereinfacht gesagt auch die Tätigkeiten von US-Geheimdiensten. Ein Teil der dort Beschäftigten und deren Arbeit war aber eine der Voraussetzungen für das Data Privacy Framework zwischen der EU und den USA. Fällt das Personal und deren Tätigkeit weg, wankt das ganze Rahmenwerk.

Darauf hatten bereits im Januar zum Beispiel Greg Nojeim und Silvia Lorenzo Perez in einem Beitrag bei Lawfare hingewiesen. Mitte Februar warnte dann das Center for Democracy  Technology: »Sollte es der US-Regierung und dem US-Senat nicht gelingen, die operative Kapazität des PCLOB innerhalb eines angemessenen Zeitraums wiederherzustellen, wären die persönlichen Daten der EU-Bürger einer unrechtmäßigen Überwachung ausgesetzt, ohne dass die notwendigen Schutzmaßnahmen ergriffen würden, was ihre Rechte verletzt.«

EU-Parlament reagiert auf Trump

Jetzt beginnt die Situation zu eskalieren. Das EU-Parlament, genauer gesagt das »Committee on Civil Liberties, Justice and Home Affairs« (LIBE) des Europäischen Parlaments, hat jetzt die EU-Kommission aufgefordert, die sogenannten »Angemessenheitsbeschlüsse« zu prüfen. Wie lange das dauert, ist unklar. Aber über US-Cloud-Diensten in Europa schwebt – wieder einmal – das Damoklesschwert. Denn formal bedeutet das Ende des Data Privacy Frameworks auch das Ende der US-Cloud-Dienste in Europa.

Da nützt dann auch ein Rechenzentrum in Europa nichts mehr. Denn die aktuelle US-Regierung hat klar gemacht: US-Unternehmen unterliegen ihrer Auffassung nach weltweit vor allem US-Behörden und müssen deren Wünsche auch mit ausländischen Landesgesellschaften nachkommen.

Machtdemonstration der US-Regierung

Der in Datenschutzfragen versierte Professor Dr. Dennis-Kenji Kipker schreibt dazu bei LinkedIn: »Ich habe den Brief zum Anlass genommen, um mit sachlich vertrauten Personen aus der politischen Szene in den USA zu sprechen und die Antwort war recht eindeutig: Der Trump-Administration geht es weder um den Datenschutz noch um die digitalen Bürgerrechte oder um die Werthaltigkeit eines Abkommens zwischen der EU und den USA. Vielmehr handelt es sich um eine Machtdemonstration, um zu zeigen, dass wir in der EU uns nach wie vor im technologiepolitischen Würgegriff der US-Regierung befinden – europäische Grundwerte hin oder her.«

Allerdings sieht er keinen einfachen Ausweg: »Egal, was sie [die EU-Kommission] tut, es wird falsch sein. Wenn sie das US-Datenschutzniveau weiterhin bestätigt, negiert sie politisch die europäischen verfassungsrechtlichen Grundwerte. Wenn das Datenschutzabkommen früher oder später hingegen gekippt wird, werden trotzdem weiterhin weitestgehend unkontrolliert personenbezogene Daten in die USA übermittelt, wie es schon nach dem Ende der zwei letzten Angemessenheitsbeschlüsse der Fall gewesen ist – ohne dass dies entsprechend sanktioniert wird, womit wir letztlich wieder uns selbst schaden würden.«

US-Regierung will US-Firmen vor ausländischen Gesetzen schützen

Das wisse auch eine amtierende US-Regierung nur zu genau. Deshalb hat sie gleich noch eine mit Vorwürfen und Drohungen gespickte Ankündigung veröffentlicht, dass sie US-Firmen künftig vor »Erpressung sowie unfairen Bußen und Strafen« schützen werde.

Darin heißt es zum Beispiel: »Ausländische Rechtssysteme beschränken den grenzüberschreitenden Datenverkehr, verpflichten amerikanische Streaming-Dienste zur Finanzierung lokaler Produktionen und erheben Gebühren für die Netznutzung und die Internet-Terminierung. All diese Maßnahmen verletzen die amerikanische Souveränität und verlagern amerikanische Arbeitsplätze ins Ausland, schränken die globale Wettbewerbsfähigkeit amerikanischer Unternehmen ein, erhöhen die amerikanischen Betriebskosten und legen unsere sensiblen Informationen potenziell feindseligen ausländischen Regulierungsbehörden offen.« Ausdrücklich genannt werden Frankreich, Spanien, Italien, Österreich und Großbritannien.

In einem weiteren Absatz geht die Ankündigung auch auf die Bemühungen der Europäischen Union zur Kontrolle von Social-Media-Plattformen ein. Hier soll sichergestellt werden, dass US-amerikanischen Unternehmen Produkte oder Dienstleistungen ausschließlich nach ihren Vorstellungen entwickeln und verwenden können und keinerlei Vorgaben in Bezug auf die Möglichkeiten der »Meinungsfreiheit und das politische Engagement« unterliegen oder Inhalte moderiert werden müssen. Das ist ein ganz anderes Handlungsfeld. Indem die US-Regierung aber den Streit darüber, wie Meinungsfreiheit definiert werden soll, mit den Fragen verknüpft, wie Unternehmen Daten austauschen und nutzen dürfen, erschwert sie eine Lösung des Problems.