Datenschutz

Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 dürfte allen klar sein, dass europäischer Datenschutz nicht mit US-Überwachungsgesetzen wie dem CLOUD Act (Clarifying Lawful Overseas Use of Data) vereinbar sind. An diesem Tag erklärte der EuGH den Pri­vacy-Shield-Beschluss der EU-Kommission von 2016 für ungültig, der den USA ein vergleichbares Datenschutzniveau attestierte. „Amerikanische Clouds sind nicht sicher und die Übertragung persönlicher Daten von EU-Ländern in die USA ist in vielen Fällen illegal“, sagt der Datenschutzexperte Andres Dickehut, Geschäftsführer der Consultix GmbH, die sich auf Verwaltung und Management personenbezogener Daten spezialisiert hat. „Alle Unternehmen, die aktuell Datentransfer auf Basis des Privacy Shields mit Cloud-Anbietern betreiben, müssen ihre Marschrichtung ändern.“

Ähnlich äußerte sich die Berliner Beauftragte für Datenschutz und Informations­freiheit Maja Smoltczyk: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen“, erklärte sie in einer Pressemitteilung zum EuGH-Urteil. „Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.“

Natürlich kann man einwenden, dass die Behörden weitreichende Befugnisse brauchen, um wirkungsvoll gegen das organisierte Verbrechen und den Terrorismus vorgehen zu können. Tatsächlich nutzen die Vereinigten Staaten Rechtsmittel aber auch gerne, um sich handfeste wirtschaftliche Vorteile zu verschaffen. Jüngste Beispiele dafür sind das drohende Verbot der Videoplattform TikTok und die angekündigten Sanktionen gegen die Beteiligten an der Gas-Pipeline Nordstream 2. Im ersten Fall soll der Betreiber gezwungen werden, das US-Geschäft billig an Microsoft zu verkaufen, im zweiten wollen sich die USA lästige Konkurrenz für ihr Fracking-Gas vom Hals schaffen. „Amerikanische Behörden können ausländische Firmen wie Gremlins auf einem Bildschirm zerstören“ titelte das Wirtschaftsmagazin „The Economist“ bereits 2018. Die Hegemonie der US-Cloud könnte dabei ein wichtiger Hebel sein. „Man darf sich nichts vormachen“, so Achim Freyer von Rubrik, „selbst wenn die aktuellen Gesetze für den vollen Zugriff der US-Behörden auf Cloud-Daten internationaler Kunden nicht ausreichen, kann der nächste Präsidentenerlass das schnell ändern.“

Es gibt eigentlich nur zwei Möglichkeiten, Daten in der Cloud mehr oder weniger wirkungsvoll vor dem Zugriff der US-Behörden zu schützen. Die erste besteht darin, sie durchgängig zu verschlüsseln und die Schlüssel selbst zu verwalten. Allerdings haben die US-Überwachungsbehörden gängige Verschlüsselungsmethoden längst kompromittiert. Bekanntestes Beispiel ist der vom National Institute of Standards and Technology (NIST) herausgegebene Zufallsgeneratoren-Standard Dual_EC_DRBG, in den die NSA eine Backdoor einbauen ließ. Auch Produkte von Sicherheitsfirmen wie RSA sowie der Chip-Hersteller AMD und Intel stehen unter dem Verdacht, Schlupflöcher für den Behördenzugriff zu enthalten. Die zweite Möglichkeit besteht darin, Daten lokal zu hosten, nur für Berechnungen in die Cloud zu transferieren und dort nur im Arbeitsspeicher vorzuhalten. Auch das minimiert die Gefahr eines institutionellen Datendiebstahls, kann sie aber nicht ganz verhindern.

Ob die Daten bei europäischen Cloud-Providern langfristig besser geschützt sind, ist jedoch fraglich. Die EU plant mit der „e-Evidence“-Direktive eine dem CLOUD Act sehr ähnliche Regelung. Sie sieht vor, dass Ermittlungsbehörden eines europäischen Staates von einem Provider direkt die Herausgabe von Daten verlangen können, auch wenn diese sich in einem anderen EU-Land befinden. Die lokalen Strafverfolgungsbehörden im betroffenen Zielland müssten nicht einbezogen werden. Kritiker wie der grüne Europapolitiker Sergey Lagodinsky halten die Initiative für problematisch: „Ich befürchte Defizite beim Schutz von Grundrechten und von Rechtsstaatsgarantien, insbesondere da das Strafrecht in den einzelnen Mitgliedsländern ganz unterschiedlich geregelt ist“, schreibt er auf seiner Webseite.