Die neue Woche begann mit einem datenschutzrechtlichen Paukenschlag: Wie der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski im Ergebnis seiner schon 2021 gestarteten Untersuchung verkündete (PDF), hat die EU-Kommission durch die Nutzung des Microsoft Cloud Service gegen das europäische Datenschutzrecht verstoßen.
Wiewiórowski bemängelte insbesondere, dass die EU-Kommission keine angemessenen Schutzmaßnahmen ergriffen habe, wenn sie bei der Nutzung der Cloud-basierten App personenbezogene Daten in Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) übermittelt hat. Darüber hinaus habe es die Europäische Kommission versäumt, in ihrem Vertrag mit Microsoft festzulegen, "welche Arten von personenbezogenen Daten bei der Nutzung von Microsoft 365 für welche ausdrücklichen und spezifizierten Zwecke erhoben werden sollen" - so eine Erklärung des EDSB.
Als Konsequenz muss die Kommission spätestens bis zum 9. Dezember 2024 alle Datenströme aussetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter, die in Ländern außerhalb der EU/des EWR ansässig sind, ergeben. Ausnahme sind Länder mit einem vergleichbaren Datenschutzniveau wie die EU.
Es begann im "Summer of Snowden"
Doch wie kommt es, dass es selbst die europäischen Regierungseinrichtungen nicht schaffen, sich an ihre eigenen datenschutzrechtliche Vorgaben zu halten? Um das verstehen zu können, müssen wir in der europäischen Datenschutzgeschichte einige Jahre zurück reisen, namentlich in den Sommer 2013 – bekannt auch als "Summer of Snowden". Damals deckte der US-amerikanische Whistleblower Edward Snowden auf, dass die NSA ein geheimes und globales Überwachungsprogramm namens "PRISM" betrieb, das die digitale Kommunikation von Personen innerhalb und außerhalb der USA umfassend überwachte und analysierte.
Darin eingebunden waren schon seinerzeit viele weltweit bekannte Big-Tech- und Internetriesen wie Yahoo, Facebook, Apple, AOL oder Microsoft. Durch Snowdens Veröffentlichung wurde eine globale Überwachungs- und Spionageaffäre ausgelöst, die sich nicht nur in der Nachrichtendienstkooperation der "Five Eyes"-Staaten Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den USA niederschlug, sondern in viele weitere Staaten und auch nach Deutschland reichte, wo seinerzeit ein NSA-Untersuchungsausschuss gebildet wurde.
Erster Akt: Safe Harbor
Doch nicht nur auf politischer Ebene hatte der PRISM-Überwachungsskandal gravierende Folgen, sondern ebenso für das EU-Datenschutzrecht. Denn es dürfen – so der allgemeine Rechtsgedanke – personenbezogene Daten nur in solche Drittländer außerhalb der EU übermittelt werden, die ein angemessenes gesetzliches Datenschutzniveau haben. Falls dieses nicht vorliegt, müssen grundsätzlich zumindest alternative Vorkehrungen getroffen werden, um dieses zu erreichen.
Bis dato war der Transfer personenbezogener Daten aus der EU in die USA unproblematisch und politisch unauffällig: Schon im Jahr 2000 wurde zwischen der EU und den USA das "Safe-Harbor-Abkommen" geschlossen, das ebenjenes angemessenes Datenschutzniveau in den USA garantieren sollte. Mit den neuen geheimdienstlichen Enthüllungen konfrontiert, konstatierte bereits die EU-Kommission, dass die US-amerikanischen Datenschutzstandards nicht den europäischen Vorgaben genügen können. Letztlich folgte der EuGH dieser Auffassung und erklärte in der Schrems-I-Entscheidung das Safe-Harbor-Abkommen für nichtig.
Zweiter Akt: EU-US Privacy Shield
In wirtschaftlicher Hinsicht war dieser Entscheid eine Katastrophe, mit Blick auf den Datenschutz eine neue "Bergpredigt", denn nun war klar, dass die EU die ausufernde US-Überwachungsmaschinerie nicht tolerieren würde. In der unternehmerischen Praxis mussten nun schnellstmöglich Lösungen gefunden werden, denn von einem Tag auf den anderen war mit der Nichtigkeit von Safe Harbor die Rechtsgrundlage zur Übermittlung personenbezogener Daten in die USA weggefallen.
Und auch politisch stand die EU-Kommission nun auf einmal unter Zugzwang: Was die EuGH-Richter juristisch lupenrein formuliert hatten, durfte nicht an der Datenschutzpraxis scheitern, indem Zigtausende europäischer Unternehmen nun auf einmal sehenden Auges datenschutzrechtswidrig personenbezogene Daten in die USA übermittelten. Was tatsächlich aber auch geschah und über Monate hinweg von den Aufsichtsbehörden mehr oder weniger toleriert wurde.
Unter massivem wirtschaftspolitischem Druck wurde schließlich in Windeseile das Folgeabkommen EU-US Privacy Shield ausgearbeitet und angekündigt – mit der Besonderheit, dass sogar das Logo für dieses neue Abkommen noch vor der eigentlichen inhaltlichen Einigung fertiggestellt und der Öffentlichkeit präsentiert wurde. Schon kurz nach Bestehen dieses neuen Angemessenheitsbeschlusses begann es in der Datenschutzwelt zu rumoren: Privacy Shield sei nichts anderes als eine Reihe informeller Absprachen, bestehend aus gegenseitigen politischen Zusicherungen – und damit kaum geeignet, ein rechtsverbindliches europäisches Datenschutzniveau auch in den USA festzulegen.
So kam es dann, wie es kommen musste: Im Sommer 2020, sieben Jahre nach den Snowden-Enthüllungen, wurde auch das Privacy-Shield-Abkommen durch den EuGH in der Schrems-II-Entscheidung für ungültig erklärt – mit derselben Folge wie zuvor: Zigtausende von Unternehmen übermittelten rechtswidrig Daten in die USA, ohne dass die zuständigen Aufsichtsbehörden das EU-Datenschutzrecht durchsetzen konnten.
Dritter Akt: EU-U.S. Data Privacy Framework
Seit Sommer letzten Jahres haben wir nun wieder einen neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework. Inhaltlich ist man hier zwar einen Schritt weiter gegangen, indem auf US-amerikanischer Seite mit einer präsidentiellen "Executive Order" gewisse unabhängige Prüfmöglichkeiten, Betroffenenrechte und Einschränkungen nachrichtendienstlicher Zugriffsbefugnisse definiert wurden. Aber auch hier gibt es unter Datenschützern schon erhebliche Zweifel, ob dieser Beschluss die nächsten Jahre überdauern wird.
Die Grundaussage ist hier dieselbe wie in den Jahren zuvor: An sich haben die USA ihre Überwachungspraxis nicht geändert, und eine Executive Order ist eben kein formelles Parlamentsgesetz, sondern kann durch den nächsten amtierenden US-Präsidenten ebenso einfach wieder eingeschränkt oder kassiert werden. Das Risiko, dass es somit genauso weitergeht wie in den vergangenen - mittlerweile fast zehn - Jahren, ist somit nicht unerheblich.
Datenschutzniveau schadet Datenschutz?
Wo stehen wir nun also mit einem Blick auf den europäischen Datenschutz? Jetzt, wo die aktuellen Untersuchungsergebnisse des Europäischen Datenschutzbeauftragten im Hinblick auf die datenschutzrechtswidrige Verwendung von Microsoft Cloud-Produkten durch die EU-Kommission bereits seit Jahren vorliegen, macht sich Ernüchterung breit: Wenn schon die EU als "Prinzipal des Datenschutzes" nicht in der Lage ist, sich im internationalen Datenverkehr datenschutzkonform zu verhalten, wie sollen es dann erst die unzähligen Wirtschaftsbetriebe in der EU machen, die mindestens genauso stark auf Microsoft-Produkte angewiesen sind? Doch nicht nur das: In juristischer Hinsicht waren die Schrems-Entscheide mit Sicherheit ein großer Schritt nach vorne, haben sie doch klar dargestellt, dass das EU-Datenschutzrecht mit all seinen positiven Errungenschaften auch im internationalen Kontext gilt.
In der Praxis haben sie aber seit Jahren mangels hinreichender technologischer Souveränität der EU zu dem Dilemma geführt, dass rechtswidrige Datenübermittlungen in unsichere Drittstaaten weitestgehend folgenlos hingenommen werden mussten und sich so zu geduldeten "Best Practices" entwickeln konnten. Und dieses gesamteuropäische datenschutzrechtliche Durchsetzungsdefizit hat – so traurig es ist – trotz aller gut gemeinten Intentionen dem EU-Datenschutz sehr viel seiner Glaubwürdigkeit genommen und ihm damit letztlich mehr geschadet als genutzt. (mb)