Kurze Geschichte des Datenschutzes und Datentransfers
Bereits in den 70er und 80er Jahre wurde die Kommission der EG mehrfach aufgefordert, eine Richtlinie für den Schutz personenbezogener Daten der EG-Bürger zu entwickeln . Der hehre Wunsch nach informeller Selbstbestimmung mündete 1995 in die Datenschutz- „Richtlinie 95/46/EG“. Sie kam spät und wurde noch später und dazu noch falsch umgesetzt . Doch verbot sie immerhin bereits vor fast 30 Jahren, personenbezogene Daten der EU-Bürger in Staaten zu übertragen, deren Datenschutz ein noch geringeres Schutzniveau als das EU-Recht hatte. Zum Beispiel: in die USA.
Insofern ungünstig, da die USA einerseits weltweit die Nr.1 in der digitalen Datenverarbeitung waren (sind?), andererseits keine ansatzweise den EU Standards entsprechenden Regelungen hatten (haben..). Damit der Datenverkehr zwischen EU und USA nicht zum Erliegen kam, wurde schnell das Safe Harbor Abkommen geschlossen. Ganze 15 Jahre lang wurden dank dem „sicheren Hafen“ Daten unkontrolliert zu Google, IBM, Amazon, Facebook … geschickt. Das der Hafen doch nicht sicher war, wurde allerspätestens 2010 klar . Doch es dauert noch weitere 5 Jahre, bis das Abkommen gekippt wurde (Schrems-I Urteil). Es musste also ganz schnell ein neuer Schutz für die Daten her – der Privacy Shield! Long story short, der Privacy Shield war von Anfang an so umstritten (aus gutem Grund) dass es nur eine Frage der Zeit bis zum nächsten (Schrems-II Urteil- 2020) war. Sie sehen, schlechte Gesetze bekommt man seehr langsam weg, aber neue schlechte Gesetze sind im Nu aus der Schublade geholt.
Nun, 2023, kommen wir zum dritten Anlauf – diesmal ohne Shield, Safe und Co., sondern mit einem trockenen „EU-U.S. Data Privacy Framework“. Um beurteilen zu können, ob es bald zum Schrems-III Urteil kommt, müssen wir die zentrale Frage beantworten:
Was ist eigentlich das Problem mit der Datenverarbeitung in den USA?
Zunächst sei gesagt, es gibt kein Datenschutzgesetz auf Bundesebene in den USA. Es gibt hier und da sektorale Gesetze, wie das GLBA im Finanzsektor oder HIPAA im Gesundheitswesen, aber darüber hinaus kann jeder Bundesstaat machen, was er möchte.
Zweitens, es gibt und gab bereits viele Fälle von Datenmissbrauch und Sicherheitsverletzungen in enormen Umfang (Millionen von Betroffenen):
Equifax-Datenhack, Cambridge Analytica-Skandal, 3 Milliarden Usernamen (und Telefon, Passwörter etc.) wurden 2013 von Yahoo gestohlen (was erst 4 Jahre später zugegeben wurde), 2018 verliert Marriott International von einer halben Milliarde Gästen Daten wie Passnummer, Reiseinformationen und mehr, die Liste müssten wir an anderer Stelle fortführen...
Das zentrale Hauptproblem ist jedoch die Massenüberwachung in den USA. Das Thema wird medial häufig nicht so aufgearbeitet wie die Massenüberwachung in bspw. China, steht dieser im Umfang aber nicht wirklich nach (in den Konsequenzen allerdings schon). US-Gesetze wie FISA, Patriot Act, Executive Order 12333 und Cloud Act legitimieren die Massenüberwachung durch die NSA und Co und erlauben unter anderem den Zugriff auf Telefondaten, Mails, Internetnutzung, weitere elektronische Aufzeichnungen etc. ohne richterliche Genehmigung, auch im Ausland.
Instrumente wie PRISM, Upstream Collection und XKeystore ermöglichen Suchanfragen in Echtzeit (!!) zu Ihrem Browserverlauf, Chatnachrichten, E-Malis und mehr.
WICHTIG: Die US-Gesetze betreffen explizit auch Server der US-Firmen, welche sich im Ausland befinden. Es spielt also keine Rolle, ob der Google/Amazon/Microsoft-Server in Frankfurt oder Kalifornien ist!
Gut, man könnte meinen, sollen die Geheimdienste halt bohren, das steht ja quasi in der Job Description. Aber Ihre Lieblingsunternehmen sind leider auch nicht besser, sie sammeln im vergleichbaren Umfang Daten, verkaufen diese, setzen die gesammelten Daten ein, um Sie zu manipulieren. Ein Zitat von Eric Schmidt, damals CEO von Google:
„Wenn du etwas hast, was du nicht jeden wissen lassen willst, solltest du vielleicht es erst gar nicht machen. Aber wenn du wirklich diese Art von Privatsphäre brauchst, die Realität ist, dass Suchmaschinen, inklusive Google, diese Informationen … aufbewahren … Es ist möglich, dass diese Informationen den Behörden verfügbar gemacht werden“
Übrigens, als daraufhin Journalisten persönliche Details vom Herrn Schmidt gegoogelt und neu veröffentlicht haben, wurden die Journalisten auf eine schwarze Liste gesetzt .. inklusive Beschwerde, dass die Privatsphäre von Herrn Schmidt verletzt wurde (wohlgemerkt, es wurden nur Informationen veröffentlicht, welche durch Google selbst zur Verfügung gestellt wurden).
Zurück zum neuen EU-U.S. Data Privacy Framework – was ist anders?
Eigentlich nur eine Sache: der Präsident der USA hat ein Dekret, eine „Executive Order“ (nicht die Order 66 sondern 14086) erlassen, wonach die Geheimdienste doch bitte die Daten besser schützen und bei der Datensammlung mehr darauf achten sollen, dass diese „notwendig und verhältnismäßig“ ist . Die Gesetze bleiben gleich, weiterhin haben ausschließlich US-Bürger verfassungsmäßige Rechte und dürfen nicht anlasslos überwacht werden.
Also der Lehrer hat die Kinder gebeten, doch bitte nicht verhältnismäßig laut zu sein.
Was bedeutet das für Sie, Ihre Daten, Ihre Mitarbeiter-Umfragen und Kundenbefragungen?
Wir sind der Meinung, dass bestimmte Informationen, wie Ihre Vorlieben beim Einkauf, in der Google Suche, oder Ihre Konversation mit Freunden und Familie, Ihnen gehören. Mit dieser Meinung sind wir nicht allein, Art. 8 der EU-Grundrechtcharta ist auch mit dabei.
Des Weiteren sind wir der Meinung, dass Sie sicherlich nichts falsch machen, wenn Sie darauf achten, stets nach europäischen, gern deutschen, Alternativen für Umfragetools zu schauen, bevor Sie einen US-Platzhirsch nehmen.
Bei uns gilt jedenfalls – Ihre Daten waren und sind sicher und gehören nur Ihnen.
Quellen und Verweise:
1 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=uriserv:OJ.C_.1982.087.01.0031.01.DEU#page=9
2 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=uriserv:OJ.C_.1976.100.01.0027.01.DEU#page=1
3 https://www.spiegel.de/netzwelt/netzpolitik/urteil-gegen-deutschland-europa-befreit-datenschuetzer-von-politischem-druck-a-682540.html
4 https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf
5 https://money.cnn.com/2005/08/05/technology/google_cnet/
6 https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/