Experte kritisiert Biden-Anlauf zum EU-US-Datenaustausch

Experte kritisiert Biden-Anlauf zum EU-US-Datenaustausch

Detlef Schmuck: Versuch, den Privacy Shield wiederzubeleben, ist zum Scheitern verurteilt.

Hamburg, 13. Oktober 2022 – Der jüngste Versuch der US-Regierung, den transatlantischen Daten­austausch auf eine datenschutzrechtlich solide Grundlage zu stellen, ist zum Scheitern verurteilt, prognostiziert der Hamburger Datensicherheitsexperte Detlef Schmuck. Er sagt: „Solange sich die USA weiterhin so eklatant wie bisher über das europäische Datenschutzniveau hinwegsetzen, kann es keine stabile rechtliche Basis geben.“  
Am 7. Oktober hatte US-Präsident Joe Biden die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnet. Die Anordnung soll das 2016 zwischen den USA und der EU geschlossene Datenschutzabkommen „Privacy Shield“, das der Europäische Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt hatte, wiederbeleben. Um dies voranzubringen, müsse das EU-Parlament als nächsten Schritt einen Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der General Data Protection Regula­tion (GDPR; in Deutschland mit der Datenschutzgrundverordnung DSGVO umgesetzt) entspricht.  
„Der Beschluss mag kommen, weil er politisch gewollt ist, aber faktisch ist die Angemessenheit schlichtweg nicht gegeben“, sagt Detlef Schmuck: „Der Schutz personenbezogener Daten bleibt auch nach der jüngsten Executive Order weit hinter dem europäischen Niveau zurück. Die von Biden unterzeichneten Formulierungen sind geradezu lächerlich.“

Detlef Schmuck: „Wer die jüngste Executive Order von US-Präsident Biden als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“

So räumt die jüngste US-Initiative den dortigen Behörden weiterhin das Recht auf einen massen­weisen Zugriff auf Daten von EU-Bürgern ein, wenn die nationale Sicherheit bedroht ist oder internationale Finanzdelikte aufgedeckt oder schwere Straftaten verfolgt werden oder wenn – so wörtlich – „nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“. Detlef Schmuck analysiert: „Die US-Behörden werden angesichts dieser schwammigen Formulierungen in der Praxis immer in der Lage sein, eines dieser Kriterien anzuführen, um haufenweise an die Daten von EU-Bürgern zu kommen. Wer diese Executive Order als Datenschutz einstuft, der glaubt auch, Wasser in einem Sieb auffangen zu können.“ Bezüglich einer Beschwerdestelle, bei der EU-Bürger gegen den Umgang mit ihren Daten in den USA Einspruch einlegen können, und einem noch einzurichtenden Gericht für Streitfälle seien die Formulierungen der jüngsten Executive Order ebenso schwammig, meint Detlef Schmuck. Er mahnt mehr Realitätssinn an: „Wer jemals versucht hat, über die Ver­wendung seiner persönlichen Daten mit Microsoft, Amazon oder Google zu argumentieren, der ahnt, wie sinnlos ein künftiges Vorgehen gegen US-Behörden wegen Datenschutzverletzungen sein wird.“

Europäische Unternehmen sollten sich auf keinen Fall durch die neue Executive Order dazu hinreißen lassen, personenbezogene Daten auch nur indirekt in die USA zu transferieren, warnt Datenfach­mann Detlef Schmuck. Der Transfer dürfte seiner Einschätzung nach selbst bei einer Zustimmung durch das EU-Parlament nachträglich als grober Verstoß gegen die europäische Datenschutzgesetz­gebung eingestuft werden.  
Detlef Schmuck erinnert: „Beide bisherigen Ansätze eines transatlantischen Datenaustausch­abkommens, Safe Harbor und Privacy Shield, sind vom EuGH gekippt worden. Alles deutet darauf hin, dass sich die europäischen Richter auch ein drittes Mal nicht von politisch motivierten Formulie­rungen täuschen lassen werden, wenn die US-Behörden faktisch den Datenschutz weiterhin mit Füßen treten.“ Sein Resümee: „Europäische Unternehmen sind weiterhin gut beraten, personen­bezogene Daten konsequent innerhalb der EU zu halten, deutsche Firmen am besten innerhalb Deutschlands.“

An die Politik richtet der Experte den Appell, technische Maßnahmen zum Datenschutz zu fördern, die es für jedwede Behörde unmöglich machen, Einblick in die digitale Privatsphäre der Bürger zu nehmen. Dazu zählt Schmuck eine lückenlose Ende-zu-Ende-Verschlüsselung der Datenbestände mit einer sogenannten Zero-Knowledge-Architektur. Was auf den ersten Blick technisch klingt, bedeutet in letzter Konsequenz, dass ausschließlich der berechtigte Besitzer Zugang zu seinen Daten hat – sonst niemand. Da auch der Betreiber der Datendienste keine Zugangsschlüssel zu den Kundendaten besitzt („Zero Knowledge“), kann er diese selbst auf eine behördliche Anordnung hin nicht heraus­geben. „Was man nicht hat, kann man nicht weitergeben“, sagt Schmuck lakonisch. Er weist auf einen weiteren immer wichtigeren Aspekt hin: „Cyberkriminelle können bei einer Zero-Knowledge-Architektur die Daten ebenfalls nicht in lesbarer Form erbeuten, weil sie keinen Schlüssel entwenden können, der nicht da ist.“

Detlef Schmuck ist Geschäftsführer des Hamburger Datendienstleisters TeamDrive GmbH. TeamDrive gilt als „sichere Sync&Share-Software made in Germany“ für das Speichern, Synchronisieren und Sharing von Daten und Dokumenten. Grundlage bildet eine durchgängige Ende-zu-Ende-Verschlüsselung, die gewährleistet, dass nur der Anwender selbst die Daten lesen kann – weder TeamDrive noch irgendeine Behörde auf der Welt kann die Daten entschlüsseln. Diese technische und rechtsverbindliche Sicherheit wissen über 500.000 Anwender und mehr als 5.500 Unternehmen aus allen Branchen zu schätzen, von der Industrie über das Gesundheits­wesen sowie Anwaltskanzleien, Wirtschafts- und Steuerberatung bis hin zur öffentlichen Verwaltung. Team­Drive gewährleistet, dass alle Daten ausschließlich auf Servern in Deutschland gespeichert werden und garan­tiert die Einhaltung der deutschen Datenschutzgesetzgebung. TeamDrive unterstützt Windows, Mac OS, Linux, Android und iOS.