21.09.2022 – Kategorie: Geschäftsstrategie

Trans-Atlantic Privacy Framework: Hoffnung auf ein neues Schutzschild ohne Schrammen

Quelle: KanawatTH - Adobe Stock

Beim Datenschutz gibt es im Internet noch immer Lücken. Wer als europäisches Unternehmen beispielsweise mit seinen personenbezogenen Daten in die Cloud von US-Providern geht, begibt sich in eine rechtliche Grauzone. Das könnte sich mit dem Trans-Atlantic Privacy Framework ändern.

Es gibt Hoffnung beim Datenschutz: Die USA und die Europäische Union haben sich auf ein neues „Trans-Atlantic Privacy Framework“ geeinigt. Was es beinhaltet und ob es dem Europäischen Gerichtshof diesmal ausreicht, erklärt Gastautor Daniel Wagenknecht, Partner bei KPMG im Bereich Financial Services. Egal ob Software, Speicherplatz oder Rechenleistung. Statt Daten auf eigenen Servern zu speichern und zu verarbeiten, finden immer mehr Unternehmen den Weg in die Cloud. Das hat der Cloud-Monitor 2022 von KPMG gerade erst bestätigt. Während bei der ersten Erhebung vor zehn Jahren gerade einmal etwas mehr als ein Drittel der deutschen Unternehmen mit mindestens 20 Mitarbeitern auf dezentrale Lösungen gesetzt haben, nutzen heute bereits 84 Prozent die Vorteile des Cloud-Computing. Der Hype ist damit noch nicht vorbei: 13 Prozent planen zudem bereits ihren Umzug in die „Wolke“.

Cloud bietet unbegrenzte Speicherkapazität und Rechenleistung

Mehr als doppelt so viele Nutzer von Cloud Computing als noch vor zehn Jahren. Und schon bald wird es also kaum noch Unternehmen geben, die ohne Cloud auskommen. Diese Entwicklung kommt nicht von ungefähr, schließlich bietet die innovative Technologie zahlreiche Vorteile. Sie ist von überall und zu jeder Zeit erreichbar und verfügt über nahezu unbegrenzte Speicherkapazität und Rechenleistung Zudem stellt sie stets die neueste Softwarelösung zur Verfügung und lässt sich flexibel an die Anforderungen eines Unternehmens anpassen. Außerdem setzen zahlreiche Tools und Lösungen, die während der Corona-Pandemie die Entwicklung hin zum mobilen Arbeiten vorangetrieben haben, auf diese Technologie. Das bekannteste Beispiel ist die Kommunikationsplatt-form Microsoft365, das (dezentrale) Teamarbeit organisiert und unterstützt.

Trans-Atlantic Privacy Framework: Datentransfer in die USA

Aber bei allem Jubel hat die Transformation der Datenverarbeitung auch einen Haken: Sie steht keineswegs auf rechtssicheren Füßen. Denn wer als europäisches Unternehmen auf die Dienste US-amerikanischer Cloud-Provider setzt – und das sind mit Microsoft, Amazon oder Google nun einmal die unumstrittenen Marktführer – begibt sich in eine rechtliche Grauzone, die auch nach vielen Jahren noch nicht ausreichend ausgeleuchtet ist. Das hat der Europäische Gerichtshof (EuGH) bereits mehrfach klargemacht. Ursache sind immer wieder die unterschiedlich strengen Datenschutzbestimmungen, die in der Europäischen Union (EU) beziehungsweise in Übersee gelten. Diese Datenschutz-Diskrepanz kommt zum Tragen, weil die Daten – egal ob zur Verarbeitung oder zur Speicherung in der Cloud – für gewöhnlich aus der europäischen Heimat der Anwender über den Atlantik geschickt werden.

Nun handelt es sich dabei aber keineswegs um ein Problem, das EU und USA nicht schon versucht hätten, zu lösen. Gleich mehrfach sind sie allerdings daran gescheitert. Erster Versuch war der Safe-Harbour-Plan, den der EuGH 2015 für ungültig erklärte. Wenig später folgte dann das Privacy Shield, das 2020 abgeschmettert wurde. Seither wird weitergearbeitet. Die gute Nachricht: Noch haben die beiden großen Wirtschaftsräume nicht aufgegeben. Erst im Frühjahr 2022 haben EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden angekündigt, sich grundsätzlich auf einen neuen transatlantischen Datenschutzrahmen geeinigt zu haben: das „Trans-Atlantic Data Privacy Framework“. Aber sind aller guten Dinge wirklich drei? Wird mit dem neuen Abkommen jetzt alles besser? Und werden die darin vorgesehenen Maßnahmen dem EuGH dieses Mal genü-gen?

Das Drama der Datenschutz-Diskrepanz

Es ist ein schmaler Grat, auf den sich EU und vor allem die USA mit dem Trans-Atlantic Privacy Framework begeben. Denn weil das europäische Datenschutzrecht durch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) als besonders streng gilt, müsste ins US-amerikanische Rechtssystem erheblich eingegriffen werden. So reglementiert die DSGVO beispielsweise jede Übermittlung personenbezogener Daten an ein Land außerhalb der EU. Es sei denn, das jeweilige Land kann ein angemessenes Schutzniveau dieser Daten garantieren, was in den USA aktuell nicht der Fall ist. Hinzu kommt, dass auch bei einer Speicherung der Informationen ausschließlich innerhalb der EU nicht vollumfänglich ausgeschlossen werden kann, dass Daten in die USA transferiert wer-den, etwa zu Administrationszwecken.

Größter Streitpunkt hierbei ist die sogenannte „Foreign Intelligence Surveillance“, also die Überwachung durch ausländische Geheimdienste, der Abschnitt 702 des US-Geheimdienstgesetzes, das unter anderem als „Patriot Act“ bekannt ist. Dieses Gesetz erlaubt es den Geheimdiensten, ohne Rechtskontrolle auf die Daten aus Europa zuzugreifen, die in den Cloud-Anwendungen der US-amerikanischen Provider gespeichert oder verarbeitet werden – ganz unabhängig davon, wo der Server steht, auf dem diese Daten gespeichert werden. Das ist mit EU-Datenschutzrecht längst nicht in Einklang zu bringen.

Trans-Atlantic Privacy Framework: Mehr Schutz und mehr Transparenz

Was also müsste das neue Abkommen namens Trans-Atlantic Privacy Framework beinhalten, um nicht zum nächsten scheiternden Privacy Shield 2.0 zu werden? Allen voran müsste der Zugriff der Geheimdienste und der Nachrichtendienste in den USA auf die Daten aus der EU auf ein verhältnismäßiges Maß, aller Voraussicht nach auf das notwendigste Maß, reduziert werden. Ein Schritt, der durch wirksame Kontrollen der Datenschutz- und der Bürgerrecht-Standards sichergestellt werden kann.

Darüber hinaus sind auch Änderungen in der Gerichtbarkeit vorzunehmen. So sollte die Staaten ein zweistufiges Rechtsbehelfssystem schaffen, das bei der Untersuchung und Beilegung zum Einsatz kommt, wenn sich Europäer beispielsweise darüber beschweren, dass der Schutz ihrer personenbezogenen Daten verletzt wurde. Dieser sogenannte „Data Protection Review Court“ sollte zudem unabhängig von der US-Regierung agieren können. Das würde die Abgrenzung der Rechtssysteme zu anderen Behörden wie etwa den Geheimdiensten verdeutlichen.

Einrichtung von operativen Schutzmechanismen

Neben diesen rechtlichen lassen sich auch operative Schutzmechanismen etablieren. So könnten sich Unternehmen, die aus der EU übermittelte Daten verarbeiten, dafür etwa vom US-Handelsministerium zertifizieren lassen. Damit würden sie transparent machen, dass sie die strengen Anforderungen an den Schutz personenbezogener Daten aus Europa erfüllen. In diese Kerbe würden auch entsprechende Monitoring- oder Review-Maßnahmen schlagen. Provider könnten beispielsweise darüber berichten, wie sie mit den Daten aus der EU umgegangen sind, wie viele davon sie verarbeitet haben und in welcher Form und in welchem Zeitraum dies passiert ist. Genaue Schritte, um diese Maßnahmen zu erfüllen, sind allerdings bisher noch nicht weiter spezifiziert worden.

Trans-Atlantic Data Privacy Framework: Von der Absichtserklärung zur Anwendung

Soweit die Theorie – in der Praxis sieht die Situation etwas anders aus. Dort ist die jüngste Absprache, das angekündigte Trans-Atlantic Data Privacy Framework, zunächst einmal nichts weiter als eine Absprache. Eine Absichtserklärung, dass etwas passiert. Damit daraus aber eine geltende Rechtsgrundlage für den Datentransfer aus der EU in die Vereinigten Staaten von Amerika werden kann, ist eine Exekutiventscheidung der EU-Kommission notwendig, ein sogenannter Angemessenheitsbeschluss. Dafür ist es allerdings zunächst notwendig, die grundsätzliche Einigung, die Joe Biden und Ursula von der Leyen angekündigt haben, in eine rechtlich bindende Vereinbarung zu überführen.

Der erste Schritt in Richtung Rechtssicherheit ist folglich gemacht. Wie viele noch folgen und ob sie zum Erfolg führen werden, ist ungewiss. Zum einen ist zweifelhaft, ob die USA ihr Rechtssystem so weitreichend ändern, dass es EU-Ansprüchen genügt. Schließlich müssten sie ihre Einstellung zu massenhafter Überwachung und die Gewichtung des Grundrechts auf informationelle Selbstbestimmung komplett überdenken. Zum anderen haben sie den „Foreign Intelligence Surveillance Act“, also das Zugriffsrecht der Geheimdienste, gerade erst verlängert. Kaum zu glauben, dass die EU-Kommission darüber hinwegsehen wird. Dennoch ist es ein gutes Zeichen, dass Europa und die USA im Gespräch bleiben. Und eine Lösung finden, von der alle gleichermaßen profitieren. 

Daniel Wagenknecht ist Partner bei KPMG im Bereich Financial Services. (Bild: KPMG)

Über den Autor: Daniel Wagenknecht ist Partner bei KPMG im Bereich Financial Services. Er berät Banken und Versicherer bei IT-Management-Themen. Fokussiert hat er sich auf die Themen Sourcing & Cloud-Beratung. Insbesondere unterstützt er Mandanten bei der Entwicklung von Sourcing und Cloud Strategien, Auswahl passender Dienstleister, Vertragsgestaltungen, Konzeptionierung und Aufbau des Sourcing Managements, Transformation der IT und bei der Umsetzung von aufsichtsrechtlichen Anforderungen in Sourcing- und Cloud-Vorhaben. (sg)

Lesen Sie auch: Privacy Shield: Wie die Rechtssicherheit wieder hergestellt werden soll


Teilen Sie die Meldung „Trans-Atlantic Privacy Framework: Hoffnung auf ein neues Schutzschild ohne Schrammen“ mit Ihren Kontakten:


Scroll to Top