Die Folgen des Privacy-Shield--Urteils für Facebook & Co.

Welche neuen Datenschutzl?sungen müssen US-Unternehmen nach dem Privacy-Shield-Urteil finden? Der Bundesdatenschutzbeauftragte kennt die Antwort im Interview.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 20 Beitr?ge

(Bild: Illus_man/Shutterstock.com)

Von
  • Holger Bleich
  • Christian W?lbert

Der Europ?ische Gerichtshof hat den Datenschutzbeschluss EU-US Privacy Shield für nichtig erkl?rt. Verschlüsselung, Pseudonymisierung oder Treuhand-Modelle: Schon bald würden US-Unternehmen solche L?sungen für mehr Datenschutz einsetzen, prophezeit der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, im c’t-Interview.

c’t: Herr Kelber, im Juli hat der Europ?ische Gerichtshof das Privacy-Shield-Abkommen gekippt. Seitdem wissen viele Menschen in Europa nicht, ob sie weiterhin Daten zu US-Unternehmen transferieren dürfen. Reichen nun die sogenannten Standardvertragsklauseln der EU-Kommission als Grundlage aus?

Ulrich Kelber: Wir arbeiten an Orientierung gebenden Leitlinien zu dieser Frage, gemeinsam mit den Kolleginnen und Kollegen aus den Bundesl?ndern und der EU. In vielen F?llen wird ein Transfer voraussichtlich weiter m?glich sein, wenn zus?tzliche Sicherungsma?nahmen getroffen werden. Wie diese Ma?nahmen aussehen müssen, h?ngt von den Bereichen ab. Für einfache Datenspeicherungen bietet sich m?glicherweise eine Verschlüsselung an, bei anderen Gesch?ftsmodellen eine Pseudonymisierung. Denkbar ist auch, dass Treuh?nder aus der EU die Daten im Auftrag der US-Unternehmen verarbeiten, sodass US-Sicherheitsbeh?rden keinen Zugriff mehr haben.

(Bild:?Bundesregierung/Kugler)

c’t: Glauben Sie wirklich, dass Facebook & Co. ihre Produkte derart umbauen?

Kelber: Facebook wird nicht auf 450 Millionen Kunden in der EU verzichten, und auch nicht auf 120 Millionen in Japan und 50 Millionen in Südkorea, wo die Gesetze sich mittlerweile an der Datenschutz-Grundverordnung orientieren. Die gleichen Standards werden in Indien und in vielen weiteren Staaten kommen. Die US-Anbieter werden sich schneller bewegen, als manch einer heute glaubt.

c’t: Die EU-Kommission und die US-Regierung streben eine andere L?sung an: Sie verhandeln über ein Nachfolgeabkommen zu Privacy Shield. Kann dabei etwas herauskommen, das vor Gericht bestehen kann?

Kelber: Das kann heute niemand sagen, das h?ngt unter anderem von den Wahlen in den USA ab. Wir wissen aber, was sich in den USA ?ndern müsste: Es geht nicht, dass Bürgerinnen und Bürger der EU weniger Rechte haben als Staatsangeh?rige der Vereinigten Staaten. Es kann auch nicht sein, dass Betroffene nicht informiert werden, wenn Beh?rden auf ihre Daten zugreifen. Und die Unternehmen, die ein solches Abkommen nutzen wollen, müssen auch tats?chlich geprüft werden. Wenn sich die amerikanische Seite da nicht bewegt, kann es nach diesen Urteilen des Europ?ischen Gerichtshofs kein neues Abkommen geben.

c’t: Zu Ihren Aufgaben geh?rt es, die Einhaltung des Datenschutzes durch die Bundesregierung zu überwachen. Untersagen Sie Ministerien und Beh?rden nun die Nutzung von US-Cloud-Diensten wie Cisco Webex oder Microsoft 365?

Kelber: Wir haben alle Stellen, die unserer Aufsicht unterliegen, über die Folgen des Privacy-Shield-Urteils informiert. Wir haben dabei sehr deutlich gesagt: Wer die Sicherheit pers?nlicher Daten nicht gew?hrleisten kann, muss uns das melden. Das werden wir auch kontrollieren, und zwar ab sofort. Wir k?nnen die Nutzung bestimmter Dienste auch untersagen. Das ist unser sch?rfstes Schwert, deshalb müssen wir hier besonders gut argumentieren. Mir w?re es lieber, wenn die ?ffentlichen Stellen durch unsere Beratung ihre Datenverarbeitung in einen zum neuen Urteil rechtskonformen Zustand bringen.

c’t: Aus Sicht von Wirtschaftsverb?nden schie?t die DSGVO weit über das Ziel hinaus, weil sie auch europ?ische Start-ups und Mittelst?ndler dabei behindere, Daten-Gesch?ftsmodelle aufzubauen. Was sagen Sie zu dieser Kritik?

Kelber: Ich finde es traurig, wie kurzsichtig die Verb?nde argumentieren. Das ist ungef?hr so, als h?tte die deutsche Autoindustrie gejammert, dass sie Sicherheitsgurte einführen muss. Zum Glück haben sie das nicht getan, sondern sie haben mit dem Airbag und anderen Innovationen selbstst?ndig weitere Verbesserungen vorgenommen. Also lautet meine Bitte an die Wirtschaft: Raus aus dem Jammermodus, rein in den Wettbewerbsmodus. Die DSGVO ist mittlerweile ein Exportschlager, andere L?nder orientieren ihre Gesetzgebung daran. Das k?nnte ein Riesenvorteil für Unternehmen aus der EU sein, die datenschutzfreundliche Anwendungen entwickeln.

Mehr über die Konsequenzen des Urteils für Bürger und Unternehmen lesen Sie in unserer FAQ zum Thema Privacy Shield.

Dieser Artikel stammt aus c't 21/2020. (cwo)

汤姆叔叔影院