Der Traum der europäischen Datensouveränität
Beinahe jeder Mensch, der einen Computer besitzt, benutzt sie: Clouddienste. Die erfolgreichsten Anbieter dieser haben ihren Sitz in den USA. Dies führt nicht nur zu Bedenken bei PrivatverbraucherInnen, sondern vor allem bei Unternehmen. SUMO bat dazu Reinhard Posch, Chief Information Officer der Bundesregierung, sowie Helmut Leopold, Head of Center for Digital Safety & Security am Austrian Institute of Technology (AIT), um Auskünfte.
Regelung für nichtig erklärt Dies änderte sich allerdings mit dem Erfolg einer Nichtigkeitsklage der irischen Datenschutzbehörde vor dem Europäischen Gerichtshof, ausgelöst durch den Datenschutzaktivisten Max Schrems. Helmut Leopold erklärt die Situation in der EU folgendermaßen: „Wenn man beliebig unsere personenbezogenen Daten, also Daten, die einen Rückschluss auf uns erlauben und uns negativ einschränken könnten, verwenden kann, dann ist unsere Freiheit bedroht. Wir haben uns als Gesellschaft diesen Wert der Freiheit sehr hoch gelegt und haben uns dafür die Bürde gegeben, dass wir vorsichtig sind, wie wir mit den Daten umgehen und so kommt es zum Datenschutzgesetz. In Europa können wir Daten einem Datenanbieter geben, und weil er dem Gesetz unterliegt, schaut das Gesetz darauf, dass meine Daten nicht missbraucht werden.“ Auch für Reinhard Posch machte diese Entscheidung durchaus Sinn: „Die US-Gesetzgebung hat in diesem Zusammenhang nicht den Gedanken territorial gebunden zu sein. Das heißt, wenn eine Firma auch in den USA wesentliche Geschäfte tätigt, geht das US-Gesetz davon aus, dass diese Firma
von den Gesetzen betroffen ist. Sprich, wenn Microsoft in Österreich, Amazon in Irland ein Servicezentrum hat, dann gehen die US-Gesetze davon aus, dass der Zugriff, sofern er notwendig ist, gegeben ist. Und das ist ein beachtliches Souveränitätsproblem.“ Aus dieser Entscheidung folgt, dass es nun nicht mehr legal ist, personenbezogene Daten auf Servern US-amerikanischer Anbieter zu speichern, selbst wenn diese ihre Server in Europa haben. Doch dies bedeutet in erster Linie nicht, dass das Speichern auf Servern dieser gar nicht mehr möglich ist. Leopold beschreibt das wie folgt: „Somit fällt der Default-Mechanismus weg, die amerikanischen Anbieter sind hier erstmal ausgeschlossen und wir brauchen Alternativlösungen. Da gibt es zwei Ansätze: Zum einen muss man verstehen, dass das Datenschutzgesetz ja nicht prinzipiell verbietet, Daten im Ausland zu speichern, nur der Default-Mechanismus gilt nicht mehr. Es ist nun nur jede/r verpflichtet dafür Sorge zu tragen, dass sich auch ausländische Serviceanbieter an unsere Datenschutzgesetze halten – solange es dort äquivalente Mechanismen gibt, die unserem Datenschutzgesetz entsprechen, können auch im Ausland Daten gespeichert werden. Zum anderen stimuliert die neue Regelung natürlich den Markt für europäische Anbieter. Dafür braucht es aber nun auch entsprechende Angebote von europäischen Serviceanbietern.“ Souveränitätsproblem in Europa Posch beschreibt dieses Problem folgenderweise: „Wenn wir etwas auf die Cloud abbilden, haben wir zwei wesentliche Aspekte. Der eine ist der, dass Informationen irgendwo hingehen könnten. Das ist traurig und das ist für manche Bereiche auch problematisch. Das heißt, Inhalt ist das eine, aber was oft völlig übersehen wird ist die prinzipielle Bereitstellung. Wenn Sie ein
Thema Der Traum der europäischen Datensouveränität
© Copyright: adobe stock / kras99
In der EU wird Datenschutz nunmehr eine große Bedeutung zugeschrieben. Ständig aufflammende Diskussionen zur Thematik zogen auch die Datenschutzgrundverordnung der EU nach sich. Diese bedeutete für Nicht-Privatpersonen vor allen Dingen ein Überdenken des Schutzes ihrer zu verarbeitenden Daten. Dank des SafeHarbour-Abkommens und später des EU-US-Privacy-Shields war das Speichern beziehungsweise Verarbeiten personenbezogener Daten auf Servern US-amerikanischer Unternehmen – trotz der sehr differenten Datenschutzrichtlinien in den USA – soweit kein Problem.
55
