(openPR) Mit der Veröffentlichung der neuen Regeln für den Datenaustausch zwischen der EU und den USA Anfang Februar sorgten die Verhandlungspartner für sehr unterschiedliche Reaktionen. Notwendig geworden waren die Neuverhandlungen durch das Urteil des Europäischen Gerichtshofs im Oktober 2015, das das bisher geltenden „Safe Harbor“-Abkommen für nichtig erklärt hatte. Im folgenden Kurzinterview nimmt Peter Weger, Vice President International der Oodrive-Gruppe (http://www.oodrive.de), zur neuen Vereinbarung Stellung:
Frage: EU-Justizkommissarin Vera Jourova erklärte bei der Bekanntgabe der Verhandlungsergebnisse, dass die Vereinbarung die "Grundrechte der Europäer" schütze und "Rechtssicherheit für Unternehmen" bedeute. Wie beurteilen Sie diese Aussage?
Peter Weger: Als sehr euphorisch, insbesondere wenn man bedenkt, dass es sich dabei zuerst einmal nur um einen Vorschlag handelt. Dieser muss nun eine ganze Reihe von Gremien durchlaufen, bis daraus überhaupt justiziable Regelungen entstehen können. Wie die einzelnen Verantwortlichen in diesen Gremien, z.B. Isabelle Falque-Pierrotin, Vorsitzende der Article 29 Working Party on the Protection of Individuals (WP29), mittlerweile selbst bestätigen, wird dies noch Wochen bis Monate dauern. Und dann steht ja erst noch die wichtigste Entscheidung an: Der EuGH wird die neuen Regelungen sicher ebenfalls darauf prüfen, ob sie die für die Ablehnung des Safe Harbor Abkommens verantwortlichen Mängel beseitigen.
Frage: Also stehen Sie eher auf der Seite der Kritiker der Vereinbarung wie Datenschutzaktivist Max Schrems, der mit seinem Rechtsstreit mit Facebook „Safe Harbor“ ja erst zu Fall brachte und die neue Vereinbarung wenig schmeichelhaft als "Bullshitbingo" bezeichnete?
Peter Weger: So weit würde ich wiederum auch nicht gehen. Immerhin haben die Ereignisse seit dem EuGH-Urteil im Herbst vergangenen Jahres dazu geführt, dass das Thema Datenschutz und dessen unterschiedliche Beurteilung diesseits und jenseits des Atlantiks in den Mittelpunkt der öffentlichen Wahrnehmung und der öffentlichen Diskussion gerückt wurden. Nun muss es aber darum gehen, aus dieser Diskussion auch die richtigen Schritte abzuleiten und am Ende rechtliche Rahmenbedingungen zu schaffen, die Menschen auf beiden Seiten des Atlantiks ein Maximum an Schutz ihrer Daten zu garantieren.
Frage: Im Rahmen der Verhandlungen wurde vereinbart, dass das US-Handelsministerium den Schutz der Daten europäischer Bürger und entsprechende Verstöße gegen den Datenschutz sanktioniert. Außerdem wurde vereinbart, dass eine massenhafte Überwachung der Daten, die unter den jetzt ausgehandelten Regelungen übermittelt werden, unterbleiben soll. Wie beurteilen Sie diese Regelungen?
Peter Weger: Um ehrlich zu sein, mit großer Skepsis. Es soll ja angeblich sogar schriftliche Zusicherungen aus dem Büro von US-Geheimdienstdirektor James Clapper geben. Immerhin handelt es sich dabei um denselben James Clapper, der den US-Kongress im Unklaren über das Ausmaß der NSA-Überwachung ließ und dennoch im Amt blieb. Der im Juni 2015 verabschiedete „Freedom Act“ – die Nachfolgeregelung zum Patriot Act – ermöglicht es nun einmal amerikanischen Regierungsstellen, Zugriff auf alle Daten zu nehmen, die von US-Unternehmen verarbeitet werden, und zwar sogar unabhängig davon, wo diese sich befinden – in den USA oder in anderen Ländern. Microsoft wehrt sich derzeit beispielsweise vehement dagegen, Daten eines Anwenders, die in einem Microsoft-Rechenzentrum in Dublin gespeichert werden, der US-Justiz auszuhändigen, obwohl diese dies fordert. Der Ausgang des Verfahrens ist derzeit noch offen.
Diese Rechtsauffassung steht im krassen Gegensatz zu den Vorgaben, die europäische Datenschutzbehörden für die Handhabung insbesondere personenbezogener Daten haben. Ich habe da meine Zweifel, ob es gelingen wird, die amerikanische Seite von ihrer Haltung abzubringen.
Frage: Sie haben den Begriff „personenbezogene Daten“ selbst angesprochen. Welche Bedeutung spielt diese Art von Daten für einen Cloud Computing-Anbieter wie Oodrive?
Peter Weger: Eine große. Dies gilt aber nicht nur für uns als Cloud Computing-Anbieter, sondern prinzipiell für alle Unternehmen, die Daten erfassen, die mit physischen Personen zusammenhängen, also Interessenten, Kunden, Mitarbeiter, etc. Bei allen diesen Daten kann es sich um personenbezogene Daten handeln, die nach europäischen Datenschutz besonderen Schutz genießen. Setzt das Unternehmen in diesem Zusammenhang beispielsweise auf Collaboration- oder File Sharing-Lösungen aus der Cloud, ist es weiter für den Schutz dieser Daten verantwortlich und muss sicherstellen, dass diese Daten den vorgeschriebenen Rechtsraum nicht verlassen und auf jeden Fall bestmöglich verschlüsselt werden um diese vor fremden Zugriff zu schützen.
Als nicht-amerikanischer Cloud Service Provider ohne Rechenzentren in den USA unterliegen wir weder dem Freedom Act noch dem EU-US Privacy Shield und können damit unsere Kunden wirkungsvoll dabei unterstützen, die oben skizzierten Datenschutzvorgaben zu erfüllen.
Frage: Wie fällt zum Abschluss also Ihr Fazit zum EU-US Privacy Shield aus?
Peter Weger: Vor dem Hintergrund der derzeit bekannten Informationen von Rechtssicherheit zu sprechen, halte ich für verfrüht und auch irreführend. Es wird noch eine ganze Menge Zeit dauern, bis diese Absichtserklärungen in wirklich rechtlich verwertbare Vorgaben umgewandelt sind, mit denen sich dann auch Gerichte, allen voran der EuGH, beschäftigen kann. Erst wenn diese juristische Prüfung erfolgreich und mit einem positiven Ergebnis im Sinne der Einhaltung europäischer Datenschutzrechte abgeschlossen ist, wird ein Status erreicht sein, bei dem von einer allgemeinen Rechtssicherheit gesprochen werden kann. Danach wird sich dann in der Praxis zeigen, ob und wie amerikanische Unternehmen und Regierungsstellen sich diesen Vorgaben unterwerfen. Bis zu diesem Zeitpunkt kann ich allen Unternehmen, die in den Bereichen Enterprise Collaboration und File Sharing cloudbasierte Lösungen einsetzen, nur raten, sich Partner zu suchen, die von dieser „rechtlichen Hängepartie“ nicht betroffen sind. Alles andere wäre unternehmerisch fahrlässig.
