Netzpolitik
21.07.2016

"Daten, die in Europa lagern, genießen größeren Schutz"

Nach einem Urteil, das US-Dienste den Zugriff auf außerhalb der USA gespeicherte Daten untersagt, können US-Unternehmen aufatmen. Offene Fragen bleiben aber.

Viele US-Internet-Unternehmen dürften am vergangenen Donnerstag spürbar aufgeatmet haben. In einer überraschenden Entscheidung, hob ein Berufungsgericht in New York ein Urteil aus dem Jahr 2014 auf, das Microsoft verpflichtet hätte, den US-Behörden Zugang zu E-Mails zu gewähren, die auf irischen Servern des US-Softwarekonzerns liegen.

Rechtsexperten sprechen von einem bedeutenden Urteil, denn viele US-Firmen hatten in den vergangenen Jahren mit großen Misstrauen von Unternehmen oder Behördenkunden zu kämpfen. "Die Snowden-Enthüllungen haben bei internationalen Kunden zu einem Vertrauensverlust geführt. Die Sorge über Datenflüsse in die USA und über die Datensicherheit hat zugenommen", sagte Microsoft-Vizepräsidentin Ann Johnson vor kurzem in einem Gespräch mit der futurezone.

Daten, die rein bei europäischen Niederlassungen gespeichert sind, seien nach der Entscheidung des Berufungsgerichts nicht von US-Gesetzen, wie dem Patriot Act und auf dieser Basis erlassenen US Gerichtsanordnungen umfasst, die den US-Behörden weitreichenden Zugriff gewähren, sagt der Anwalt Axel Anderl, auf IT Recht spezialisierter Partner bei der Wiener Kanzlei Dorda Brugger Jordis zur futurezone.

Rechtliche Unsicherheiten vorerst ausgeräumt

Auch das zwei Tage zuvor von der EU-Kommission angenommene EU-US-Datenschutzschild, das den transatlantischen Datentausch neu regelt, nachdem der Europäische Gerichtshof im vergangenen Herbst die Safe-Harbor-Vereinbarung gekippt hatte, trägt dazu bei, dass zumindest rechtliche Unsicherheiten beim Datentausch mit den USA vorerst wieder ausgeräumt wurden.

Für US-Anbieter gebe es durch den Kommissionsentscheid und US-Urteil sicherlich Rückenwind, meint Anderl. Der direkte Zugriff der Geheimdienste (insbesondere FiveEyes) auf Daten, insbesondere in den USA, bleibe aber eine offene Frage.

Datenschützer gehen davon aus, dass auch das "Privacy Shield" wieder vor dem EuGH landet und aufgehoben wird. "Juristisch wurde die durch die EuGH-Entscheidung aufgetretene Lücke gestopft. Angesichts der offen bleibenden Themen ist die Frage, wie lange das hält", sagt Anderl. Die Möglichkeit der massenhaften Datensammlungen durch die US-Behörden ist abgeschwächt, aber trotz der Vereinbarung weiterhin gegeben. Dazu kommt das im Vergleich zu den europäischen Bestimmungen niedrigere Schutzniveau, insbesondere auch bei der Rechtsdurchsetzung des einzelnen Betroffenen.

Schockwellen in Europa

Die Aufhebung der Safe-Harbor-Vereinbarung durch den EuGH habe in Europa Schockwellen geschlagen und zu einer größeren Sensibilisierung europäischer Unternehmen geführt, meint Anderl. Europäische Cloud-Lösungen hätten an Attraktivität gewonnen, das habe auch dazu geführt, dass einige US-Unternehmen Rechenzentren in Europa aktiviert haben.

Viele Klein- und Mittelunternehmen (KMU), die US-Dienste nutzen könnten, seien durch das Privacy Shield voerst auf der sicheren Seite. Unternehmen, die sich für den Fall absichern wollen, dass auch das Datenschutzschild vom EuGH kassiert wird, können zusätzlich Standardvertragsklauseln abzuschließen. In Österreich müssen die vorgefertigten Vertragstexte, die Unternehmen außerhalb der EU verpflichten, sich an europäische Datenschutzstandards zu halten, von der Datenschutzbehörde genehmigt werden. Anderl empfiehlt, etwaige wegen der zwischenzeitigen Lücke nach Safe Harbor eingeleitete Genehmigungsverfahren nicht abzubrechen, sondern sich den von Privacy Shield unabhängigen Schutz zu holen. Im Einzelfall, bei unternehmenskritischen Datenanwendungen, kann der Weg über die Standardvertragsklauseln und Genehmigungsverfahren zur Absicherung der Zulässigkeit der Datenübermittlung auch jetzt noch Sinn machen, um für den Fall der Fälle der Aufhebung oder Einschränkung des Privacy Shield nicht im Regen zu stehen.

Er hoffe, dass die von dem US-Gericht und der EU-Kommission ausgesandten Signale richtig gelesen werden, sagt Anderl. Unternehmen, die Daten in die USA schicken, weil es aufgrund der Konzernstruktur oder technischer Vorgaben notwendig sei, sind nun wieder auf der sicheren Seite, sagt der Anwalt: "Daten, die in Europa lagern, genießen aber größeren Schutz und ist es daher sinnvoll, den eingeschlagenen Weg der europäischen Lösungen fortzuführen und nicht abzubrechen. Gerade für sensible Anwendungen ist das eine sehr gute Alternative und kommt auch dem Wirtschaftsstandort zu gute."