Categories: PolitikRegulierung

EU-US-Datenaustausch in der Kritik

Privacy Shield ist tot. Und auch der jüngste Versuch der US-Regierung, den transatlantischen Daten­austausch auf eine datenschutzrechtlich solide Grundlage zu stellen, ist zum Scheitern verurteilt, prognostiziert der Hamburger Datensicherheitsexperte Detlef Schmuck¸ Geschäftsführer des Hamburger Datendienstleisters TeamDrive GmbH: „Solange sich die USA weiterhin so eklatant wie bisher über das europäische Datenschutzniveau hinwegsetzen, kann es keine stabile rechtliche Basis geben.“

Am 7. Oktober hatte US-Präsident Joe Biden die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnet. Die Anordnung soll das 2016 zwischen den USA und der EU geschlossene Datenschutzabkommen „Privacy Shield“, das der Europäische Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt hatte, wiederbeleben.

Um dies voranzubringen, müsse das EU-Parlament als nächsten Schritt einen Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der General Data Protection Regula­tion (GDPR; in Deutschland mit der Datenschutzgrundverordnung DSGVO umgesetzt) entspricht.

„Der Beschluss mag kommen, weil er politisch gewollt ist, aber faktisch ist die Angemessenheit schlichtweg nicht gegeben“, sagt Detlef Schmuck: „Der Schutz personenbezogener Daten bleibt auch nach der jüngsten Executive Order weit hinter dem europäischen Niveau zurück. Die von Biden unterzeichneten Formulierungen sind geradezu lächerlich.“

Detlef Schmuck: „Wer die jüngste Executive Order von US-Präsident Biden als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“

So räumt die jüngste US-Initiative den dortigen Behörden weiterhin das Recht auf einen massen­weisen Zugriff auf Daten von EU-Bürgern ein, wenn die nationale Sicherheit bedroht ist oder internationale Finanzdelikte aufgedeckt oder schwere Straftaten verfolgt werden oder wenn – so wörtlich – „nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“. Detlef Schmuck analysiert: „Die US-Behörden werden angesichts dieser schwammigen Formulierungen in der Praxis immer in der Lage sein, eines dieser Kriterien anzuführen, um haufenweise an die Daten von EU-Bürgern zu kommen. Wer diese Executive Order als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“

Bezüglich einer Beschwerdestelle, bei der EU-Bürger gegen den Umgang mit ihren Daten in den USA Einspruch einlegen können, und einem noch einzurichtenden Gericht für Streitfälle seien die Formulierungen der jüngsten Executive Order ebenso schwammig, meint Detlef Schmuck. Er mahnt mehr Realitätssinn an: „Wer jemals versucht hat, über die Ver­wendung seiner persönlichen Daten mit Microsoft, Amazon oder Google zu argumentieren, der ahnt, wie sinnlos ein künftiges Vorgehen gegen US-Behörden wegen Datenschutzverletzungen sein wird.“

Europäische Unternehmen sollten sich auf keinen Fall durch die neue Executive Order dazu hinreißen lassen, personenbezogene Daten auch nur indirekt in die USA zu transferieren, warnt Datenfach­mann Detlef Schmuck. Der Transfer dürfte seiner Einschätzung nach selbst bei einer Zustimmung durch das EU-Parlament nachträglich als grober Verstoß gegen die europäische Datenschutzgesetz­gebung eingestuft werden.

Detlef Schmuck erinnert: „Beide bisherigen Ansätze eines transatlantischen Datenaustausch­abkommens, Safe Harbor und Privacy Shield, sind vom EuGH gekippt worden. Alles deutet darauf hin, dass sich die europäischen Richter auch ein drittes Mal nicht von politisch motivierten Formulie­rungen täuschen lassen werden, wenn die US-Behörden faktisch den Datenschutz weiterhin mit Füßen treten.“ Sein Resümee: „Europäische Unternehmen sind weiterhin gut beraten, personen­bezogene Daten konsequent innerhalb der EU zu halten, deutsche Firmen am besten innerhalb Deutschlands.“

An die Politik richtet der Experte den Appell, technische Maßnahmen zum Datenschutz zu fördern, die es für jedwede Behörde unmöglich machen, Einblick in die digitale Privatsphäre der Bürger zu nehmen. Dazu zählt Schmuck eine lückenlose Ende-zu-Ende-Verschlüsselung der Datenbestände mit einer sogenannten Zero-Knowledge-Architektur. Was auf den ersten Blick technisch klingt, bedeutet in letzter Konsequenz, dass ausschließlich der berechtigte Besitzer Zugang zu seinen Daten hat – sonst niemand. Da auch der Betreiber der Datendienste keine Zugangsschlüssel zu den Kundendaten besitzt („Zero Knowledge“), kann er diese selbst auf eine behördliche Anordnung hin nicht heraus­geben. „Was man nicht hat, kann man nicht weitergeben“, sagt Schmuck lakonisch. Er weist auf einen weiteren immer wichtigeren Aspekt hin: „Cyberkriminelle können bei einer Zero-Knowledge-Architektur die Daten ebenfalls nicht in lesbarer Form erbeuten, weil sie keinen Schlüssel entwenden können, der nicht da ist.“

ZDNet.de Redaktion

Recent Posts

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

1 Tag ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

2 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

5 Tagen ago