Position der Open Source Business Alliance anlässlich der Entscheidung des EuGH zur Nichtigkeit des Privacy-Shield-Abkommens mit den USA und zur internationalen Durchsetzung der DSGVO

Das jüngste Urteil des EuGH macht ein weiteres Mal auf das Grundproblem aufmerksam, dass in Europa geltende Regeln zum Datenschutz sowie weitere Aspekte wie der Schutz vor Industriespionage und geheimdienstlichen Aktivitäten oder zur Verwendung treuhänderisch anvertrauter Daten in fremden Jurisdiktionen nicht gewährleistet und durchgesetzt werden können.

Das Gericht macht deutlich, dass es sich in diesem Fall um ein systemisches Problem im betreffenden Land, den USA, handelt, das nicht mit einer bilateralen Vereinbarung, wie dem Privacy-Shield zwischen der EU und den USA, aus der Welt geschafft werden kann, sodass diese Vereinbarung für nichtig erklärt wurde.

Es könnte dagegen der Eindruck entstehen, dass das Gericht gleichwohl eine Möglichkeit sieht, auf Grundlage der von der EU-Kommission verfassten „Generalvertragsklauseln“ mit weiteren Einzelabreden bilateral zwischen den handelnden Unternehmen so übereinzukommen, dass ein hinreichender Datenschutz gewährleistet ist. Am Ende bleibt es letztlich bei den Durchgriffsmöglichkeiten des US-Staates gegen US-Unternehmen, sodass die Einhaltung der DSGVO auch insoweit vom amerikanischen Vertragspartner nicht sichergestellt werden kann und die Datenübertragung in die USA im Zweifel rechtswidrig bleibt. Daran ändert sich auch nichts, wenn ein US-Unternehmen Daten in der EU hostet, denn auch hier kann aufgrund des US-amerikanischen „CLOUD-Acts“ durchgegriffen werden.

Die Grundsätze dieses Urteils gelten im Übrigen nicht nur für Datenübertragungen in die USA, sondern auch in alle anderen Länder, die nicht auf dem Niveau der DSGVO personengebundene Daten schützen.

Das ist grundsätzlich eine missliche Situation, denn aus Sicht der OSB Alliance ist eine Weltwirtschaftsordnung, welche den Austausch digitaler Dienstleistungen und Güter auch über die Grenzen von Jurisdiktionen hinweg ermöglicht, anzustreben.

Eine solche Wirtschaftsordnung kann jedoch auch durch ein weiteres EU-USA-Abkommen nicht hergestellt werden, solange in den USA ein anderes Verständnis für Datenschutz vorherrscht als in der EU.

Es wäre wichtig, wenn es jetzt Übergangsregelungen insbesondere für Unternehmen geben würde, die ihre Prozesse nicht von heute auf morgen so umgestalten können, dass sie auf die Nutzung fremder (US-) Dienstleister verzichten können. Derartige Übergangsfristen sieht das Urteil indes nicht vor. Auch nach Aussage des Europäischen Datenschutzausschusses muss die Umsetzung unverzüglich erfolgen.

Ob und wann Verhandlungen, insbesondere mit den USA, über die Schaffung einer DSGVO-konformen Datenschutzstruktur erfolgversprechend sind, kann unsererseits kaum beurteilt werden. Es ist aber zu vermuten, dass das lange dauern könnte und nicht zwingend erfolgversprechend ist, sodass dringend ein europäischer Weg zu suchen sein wird.

Deswegen müssen im Lichte der klaren Position des EuGH Strategien entwickelt werden, diese Abhängigkeiten so zeitnah wie möglich jedenfalls zu minimieren, solange Daten, die in Europa entstanden sind, nicht auch zugleich in Drittstaaten wie den USA den Schutz nach der hiesigen DSGVO genießen.

Für einen Übergang ist ein klarer Weg zur Einhaltung der DSGVO und noch besser zur digitalen Souveränität notwendig.

Dieser strategische Ansatz müsste beinhalten, Ziele zu formulieren, wie sich Europa mittel- und langfristig die Lösung dieses Problems im Sinne des europäischen Grundrechtes auf Datenschutz vorstellt. Dazu müssen klare zeitliche Rahmenbedingungen mit Meilensteinen definiert werden.

Wichtige Komponenten davon sind:

  • Der Einsatz vertrauenswürdigen Codes (Open Source, Reproducible Builds) und offener Standards.
  • Die Förderung und Schaffung eines europäischen Ökosystems von Cloud-Anbietern wie z.B. bei GAIA-X und darüber hinaus.
  • Die Förderung und der strategische Einsatz von föderierbaren Systemen, die es Anwendern ermöglichen selbst zu entscheiden, für welchen Zweck sie welchen Anbieter verwenden, und an welchem Ort Daten gehalten werden.
  • Überlegungen zur Trennung von Cloud-Anbieter/Infrastrukturbetreiber und Softwarehersteller (Unbundling) im europäischen Markt nach dem Vorbild anderer regulierter Märkte, wie etwa bei den Strom- und Gasinfrastrukturen.
  • Eine Regulierung, die schrittweise die Verarbeitung bestimmter Daten nur im eigenen Rechtsraum oder eng daran gebundenen Jurisdiktionen ermöglicht.
  • Der umfassende Aufbau von Know-how in Wirtschaft, Verwaltung und Gesellschaft.

Als Verband der Open-Source-Software-Branche tragen wir zur Lösung dieser Aufgaben bei. Wir bringen uns aktiv in die dringend erforderlichen strategischen Überlegungen ein und stellen unser Know-how als Unternehmen für eine starke deutsche und europäische IT-Wirtschaft zur Verfügung. Wir grenzen uns von Autarkie fordernden und/oder protektionistischen Ansätzen in diesem Zusammenhang ab. Zentrales Ziel ist vielmehr, weltweit hohe Standards im Schutz persönlicher Daten zu erreichen und entsprechend international agieren und Handel betreiben zu können.

Schon heute gibt es vielfältige Möglichkeiten, alle datenschutzrechtlichen Vorschriften einzuhalten und digitale Souveränität ermöglichende Lösungen zu betreiben, die einseitige Abhängigkeiten schon konzeptionell ausschließen. Dafür stehen wir auch als „Bundesverband für digitale Souveränität“.

 

Der Text dieser Stellungnahme kann hier heruntergeladen werden.