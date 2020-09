Ob Facebook, Google oder Microsoft: große, internationale Unternehmen nehmen es mit der Datensicherheit ihrer Nutzer nicht immer ganz so genau, sagen unsere Experten. (Sebastian Gollnow/DPA)

Die globalisierte Welt macht auch vor einer globalisierten Datenverarbeitung nicht halt. Insbesondere US-amerikanische Dienste und Dienstleister scheinen den Markt zu dominieren. So gibt es kaum jemanden, der nicht mit Diensten von Google, Facebook, Microsoft, Amazon oder Apple in Berührung kommt – sei es im Privatleben oder im beruflichen Zusammenhang. Obwohl die entsprechenden Produkte in der Praxis das Leben oftmals sehr erleichtern oder gar bereichern, sind sie ein zweischneidiges Schwert: Viele Dienste verarbeiten Nutzerdaten intransparent oder verwenden diese gar für eigene Zwecke, um Gewinne zu maximieren. Am ehesten zeigt sich dies bei Facebook. Aber auch Google und Microsoft nehmen es mit der Privatsphäre der Nutzer oftmals nicht so genau und übermitteln Daten der Produktnutzung, geben wenig transparente Nutzerinformationen oder verstecken Einstellungen für den Datenschutz beziehungsweise bieten diese gar nicht erst an.

Neben dieser Datenverarbeitung durch den Anbieter selbst besteht aber ein weiteres Risiko: Sofern Daten von US-Unternehmen verarbeitet werden, unterliegen diese US-amerikanischem Recht und damit auch den umfassenden Sicherheitsgesetzen der USA. An dieser Stelle droht somit die Gefahr, dass auf die gespeicherten Nutzerdaten von staatlicher Seite zugegriffen wird. Zwar gibt es auch in Deutschland entsprechende Möglichkeiten des Staates, auf personenbezogene Daten von Bürgern zuzugreifen. Allerdings unterliegen diese Maßnahmen – auch wenn einige von ihnen umstritten sind – rechtsstaatlichen Grundsätzen: Intensive Überwachungsmaßnahmen des Staates müssen in der Regel durch Gerichte angeordnet werden. Die von der Maßnahme betroffenen Bürger müssen darüber grundsätzlich informiert werden – wenn auch häufig erst nachträglich. Schließlich steht den betroffenen Personen der Rechtsweg offen, um sich gegen Maßnahmen zu wehren. Diese Möglichkeiten bestehen in vielen außereuropäischen Ländern jedoch nicht. Hierzu gehören auch die USA – und dies hat auf einmal ganz praktische Auswirkungen, die auch hierzulande viele Personen und Unternehmen betreffen.

So hat der Europäische Gerichtshof (EuGH) in der Entscheidung „Schrems II“ vor Kurzem entschieden, dass es insbesondere für Unternehmen kaum noch Möglichkeiten gibt, personenbezogene Daten durch Dienstleister in den USA verarbeiten zu lassen, indem er den sogenannten „Privacy Shield“ für nichtig erklärte. Der Privacy Shield war ein Abkommen zwischen der EU und den USA, das den Datentransfer in die USA erlaubte. Die Entscheidung des EuGH hat dabei weitreichende Wirkung und kommt einem kleinen Erdbeben gleich. Unternehmen, die US-Cloudlösungen, wie zum Beispiel Microsoft 365 oder US-Anbieter von Videokonferenzsystemen nutzen, müssen sich zeitnah Gedanken machen, ob dies in Zukunft noch möglich ist – das ist gerade in Zeiten der Corona-Pandemie eine besondere Herausforderung, wenn solche Dienste benötigt und umfassender denn je genutzt werden. Sofern an dieser Stelle niemand einlenkt, könnte es in Zukunft erforderlich sein, einen Großteil der Datenverarbeitung wieder zurück in die EU zu verlagern. Das dürfte viele Unternehmen vor eine große Herausforderung stellen. Zudem müssen sich europäische Dienstleister die Frage gefallen lassen, ob sie mit den Produkten und Services der US-Konkurrenz mithalten können. Das Beispiel des populären, KI-basierten Online-Übersetzungsdienstes deepl.com (der von einem deutschen Unternehmen betrieben wird) zeigt, dass es möglich ist, mit den großen Anbietern wie Google nicht nur mitzuhalten, sondern diese in Teilbereichen sogar zu übertreffen. Andererseits wird man auch fragen dürfen, welcher europäische Videodienst sich mit Zoom messen kann, welche Office-Anwendungen ein ähnliches Portfolio bieten wie Microsoft und welcher europäische Dienstleister mit Amazon mithalten kann, wenn es um die Bereitstellung von IT-Infrastruktur in der Cloud geht – denn das Verkaufen von Ware macht längst nicht mehr das ganze Geschäftsfeld des Unternehmens aus, selbst wenn Amazon dafür gemeinhin noch am bekanntesten ist. Möglicherweise könnte ein zukünftiger Weg hier die Verlagerung der vorhandenen US-Dienste in den europäischen Raum sein. Allerdings muss dabei beachtet werden, dass US-Sicherheitsbehörden durchaus auch versuchen, Zugriff auf in Europa vorhandene Daten zu nehmen, wenn diese von US-Unternehmen gespeichert werden (Stichwort: US CLOUD Act). Eine Lösung könnte eine Art „Datentreuhänderschaft“ durch europäische Unternehmen darstellen. Ganz so einfach scheint auch dies aber nicht zu sein, denn ein solches Modell zwischen Microsoft und der Telekom wurde vor einiger Zeit schon aufgelegt, im Jahr 2018 jedoch wieder eingestellt. Alternativ ist auch der Einsatz von Verschlüsselungstechniken, die es den US-Anbietern unmöglich machen, auf die gespeicherten Daten im Klartext zuzugreifen, denkbar. Auch das ist oftmals aber nicht ganz einfach. Hinzu kommt, dass US-Unternehmen, die sich über den Einsatz von wirksamen Verschlüsselungsmethoden Gedanken machen, teilweise auch von den Behörden unter Druck gesetzt werden. Dies musste zum Beispiel Apple Anfang des Jahres erfahren, als das FBI Einwände gegen die Verschlüsselung von Daten vorbrachte. Auch wird hier immer wieder die Möglichkeit zur Entsperrung von iPhones für Strafverfahren diskutiert. Durch das aktuelle Urteil des EuGH könnten die Karten in Sachen transatlantischer Datenschutz aber noch einmal vollständig neu gemischt werden.

Vor dem Hintergrund von Datenklau und Datenschutz beleuchten sie im WESER-KURIER regelmäßig Themen der digitalen Welt. Der Weyher Dennis-Kenji Kipker ist unter anderem als Vorstandsmitglied bei der Europäischen Akademie für Informationsfreiheit und Datenschutz tätig, der Stuhrer Volljurist Sven Venzke-Caprarese arbeitet als Prokurist und Justiziar bei dem Bremer Unternehmen Datenschutz Nord.