So lautet laut Aussage des Datenschutzaktivisten Max Schrems die Antwort amerikanischer Cloud Service Provider auf das Privacy Shield-Abkommen des Europäischen Gerichtshof (EuGH) vom Juli 2020. Im Rahmen eines Hearings des EU-Parlaments (Min. 32:40 im Mitschnitt) zur EuGH-Entscheidung und dem davon betroffenen Datentransfer zwischen der EU und den USA, das Anfang September stattfand, berichtete Schrems von vertraulichen Gesprächen, die er dazu in den letzten Wochen geführt habe.
Zur Begründung für diese Haltung gibt er an, dass die kleinen Anbieter gar nicht wissen, was sie nach dem EuGH-Urteil nun zu tun haben, und die großen Anbieter dies zwar wissen, das Urteil aber bewusst ignorieren.
Darüber hinaus sei man sich, so Schrems, ziemlich sicher, dass es sowieso keine Strafverfolgung von Seiten der EU-Behörden geben werde. Man werde als einfach so weitermachen wie bisher.
Standardvertragsklauseln als „Hintertür“
„Weitermachen wie bisher“ bedeutet laut Schrems, dass man sich weiter auf so genannten Standardvertragsklauseln verlassen werde, und zwar unabhängig davon, ob sie im Einzelfall überhaupt eingesetzt werden können oder nicht. Der EuGH hatte diese vertraglichen Vereinbarungen in seiner Entscheidung ausgeklammert. Schrems sieht dabei allerdings die Problematik, dass die Standard Contractual Clauses, kurz SCCs eben genau nicht zur Geltung kommen, wenn US-Überwachungsgesetze zum Einsatz kommen. Max Schrems wörtlich: Es ist wichtig, festzuhalten, dass die SCCs nur von der Entscheidung ausgenommen wurden, weil sie nicht angewendet werden dürfen, wenn es sich um ein Unternehmen handelt, für das US-Überwachungsgesetze gelten.
Dass die amerikanischen Cloud Provider aber genau unter diese Surveillance Laws fallen bestätigt Herr Schrems ab Minute 30.43 im Mitschnitt des Hearings.
DSGVO: Nur ein zahnloser Papiertiger?
Sind die europäischen Bemühungen um mehr Datenschutz, allem voran die DSGVO, also doch nur ein zahnloser Papiertiger? Ich hatte diese Frage bereits im letzten Jahr mit dem „YouTube-Rechtsanwalt“ Christian Solmecke diskutiert. Der damalige Anlass für das Gespräch, die Frage der Nutzung von Microsoft 365 an deutschen Schulen, erlebt derzeit ja ebenfalls wieder eine Renaissance, wie zahlreiche Berichte in der Presse (z.B. auf heise.de) beweisen. Irgendwie kommen wir bei diesem Thema nicht so richtig vom Fleck.
Im Hearing vor dem EU-Parlament im September 2020 geht Max Schrems auch auf die Frage ein, was die europäischen Datenschützer nun tun können. Laut Schrems entsteht aus dem EuGH Privacy Shield zum ersten Mal eine Verpflichtung für die Behörden, die Einhaltung der Datenschutzvorgaben zu erzwingen. Davon, so Schrems, hängt aber auch die Glaubwürdigkeit der getroffenen Gerichtsentscheidungen und der diese Entscheidungen umsetzenden Behörden ab. Das größte Problem sieht er derzeit darin, dass die Wirtschaft auf der einen Seite Richtlinien benötigt, wie das Urteil und die daraus resultierenden Folgen umgesetzt werden müssen, die Behörden dagegen darauf verweisen, dass es keine allgemein gültigen Richtlinien geben kann und den Ball damit wieder an die einzelnen Branchen zurückspielt.
Max Schrems wird auf jeden Fall nicht müde, weiter für mehr Datenschutz diesseits und jenseits des Atlantiks zu kämpfen und hat bereits wieder zahlreiche Beschwerden bei den EU-Datenschutzbehörden eingereicht. Den aktuellen Status seiner Aktivitäten können Sie auf der Webseite seiner Non-Profit-Organisation noyb.eu (ein Akronym für Non of Your Business) verfolgen.
Amerikanische Cloud Service Provider und GAIA-X
Und noch eine Frage, die mir beim Recherchieren für diesen Beitrag kam: Was bedeutet die „Mauer-Taktik“ der amerikanischen Cloud Service Provider beim Datenschutz eigentlich für GAIA-X?
Die Initiative für mehr Datensouveränität europäischer Cloud-Nutzer kommt so langsam ins Rollen. Die rechtlichen Rahmenbedingungen mit Gründung einer eigenen Dachorganisation sind mittlerweile geschaffen. Bleibt aber auch hier die Frage zur Beteiligung der amerikanischen Hyperscaler wie Amazon, Google oder Microsoft.
GAIA-X-Vertreter wie EuroCloud Geschäftsführer Andreas Weiss sprechen sich ganz klar für eine Beteiligung der US-Unternehmen aus. Zwischenzeitlich gab es zwar wohl etwas „böses Blut“. Wie zu hören war, wurden nicht-europäische Unternehmen zwar zur Mitgliedschaft an GAIA-X eingeladen. In das Board of Directors, das oberste Kontroll- und Entscheidungsgremium, sollen aber nur Personen gewählt werden können, die Mitarbeiter eines Unternehmens sind, deren Muttergesellschaft ihren Sitz in Europa hat. Dieser Plan stieß, wie man hört, auf einer Bitkom-Sitzung auf „heftige Empörung“.
Unabhängig davon ist aber wohl Stand heute davon auszugehen, dass GAIA-X mit internationaler, will heißen amerikanischer Beteiligung an den Start gehen wird.
Datensouveränität europäischer Cloud-Nutzer vs. Cloud Act
Ich kann mir ehrlich gesagt kaum vorstellen, dass die US-Giganten sich auf der einen Seite wirklich ernstzunehmend für mehr Datensouveränität ihrer europäischen Nutzer einsetzen, auf der anderen Seite Entscheidungen europäischer Gerichte einfach in den Wind schlagen und „business as usual“ betreiben.
Und wenn es jetzt wieder heißt: Ja, aber die haben doch mittlerweile alle auch Rechenzentren in Europa und bieten ihren Kunden die Wahlmöglichkeiten, ihre Daten ausschließlich in Europa zu speichern.
Der von der Trump Regierung eingeführte so genannte Cloud Act verpflichtet amerikanische Cloud Service Provider nicht nur zur Herausgabe von Benutzerdaten an Behörden, z.B. Geheimdienste, die IN den USA gespeichert sind, sondern eindeutig auch die Daten, die außerhalb der USA gespeichert sind. Die Herausgabe erfolgt dabei, ohne dass der betroffene Benutzer informiert wird. Ein Einspruch von Benutzerseite ist ebenfalls nicht möglich.
Und Herr Schrems? Der hat die Problematik auch bereits erkannt. Im eingangs genannten Hearing vor dem EU-Parlament – im Videomitschnitt ungefähr bei Minute 36:19 – fordert er die EU-Kommission dazu auf, mit der amerikanischen Seite zu klären, inwieweit die US-Überwachungsgesetze auch auf Server außerhalb der USA Anwendung finden.