No-Spy-Abkommen
Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst
Gefühlt begann mit den Enthüllungen von Edward Snowden im Sommer 2013 eine neue Epoche im DatenschutzDatenschutz. Das Vertrauen in die Sicherheit von "europäischen Daten", die in den USA gespeichert sind, erreichte den Nullpunkt. Rufe wurden laut, dass personenbezogene Daten (also Daten, die in einem Bezug zu einer natürlichen Person stehen - nur solche sind von deutschem Datenschutzrecht erfasst) aus der EU überhaupt nicht mehr in die USA transferiert werden dürfen. Mehr noch: es dürfe auch keinen Zugang auf in der EU lagernde oder gesammelte Daten mehr aus den USA geben. So die oberste Instanz der deutschen Datenschützer. Alles zu Datenschutz auf CIO.de
Die Konferenz der Datenschutzbehörden des Bundes und der Länder verfasste im Juli 2013 eine Presseerklärung, wonach "der Transfer von personenbezogenen Daten in die USA nicht mehr genehmigt" würde und zudem geprüft werde, ob bestehende US-Transfers "ausgesetzt" werden müssen. Ein Paukenschlag, der für viel Verwirrung im Markt gesorgt hat. Denn fast jedes größere Unternehmen steht in Handelsbeziehungen mit den USA und tauscht (auch personenbezogene) Daten aus. War das nun alles illegal? Bedeutete die Stellungnahme der Datenschützer quasi ein Handelsembargo?
Datentransfers in die USA
Snowden offenbarte der Welt zunächst einmal, dass Geheimdienste fleißig Informationen, sprich Daten, sammeln. Was angesichts der Aufgaben eines Geheimdienstes nicht wirklich überraschte. Was allerdings überraschte, war dessen Ausmaß. Klar wurde, die NSA speicherte auf Vorrat unbegrenzt Kommunikationsdaten, Telefongespräche und Emails in riesigen Rechenzentren. Dieses Ausmaß, verbunden mit dem Umstand, dass die meisten großen Internet- und Cloud-Anbieter (wie AmazonAmazon, FacebookFacebook, GoogleGoogle und MicrosoftMicrosoft) in den USA, also der unmittelbaren Herrschaftssphäre der NSA sitzen, führte zu der genannten Reaktion der Datenschützer. Alles zu Amazon auf CIO.de Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de
Mittlerweile hat sich die erste Aufregung gelegt. Tatsächlich verschwieg die oben erwähnte Presseerklärung, dass US-Transfers in der Regel gar nicht genehmigungsbedürftig sind und in die Zuständigkeit des Gesetzgebers, nicht aber der Datenschutzbehörde fallen. Das wäre so, als wenn die Steuerfahndung verkünden würde, die Selbstanzeige sei aufgehoben. Natürlich wussten die Datenschutzbehörden das. Ihnen ging es einzig darum, Aufregung im Markt und Druck auf die USA und die Politik über deutsche Unternehmen zu erzeugen. Das gelang zumindest teilweise.
Denn die EU stellt derzeit ihre datenschutzrechtlichen Beziehungen mit den USA auf den Prüfstand und denkt über Verschärfungen nach, US-Größen wie Microsoft und Google wenden sich relativ aggressiv gegen ihre eigene Regierung. US-Transfers gibt es aber in der Privatwirtschaft nach wie vor, sie werden nicht unterbunden, und sie sind auch datenschutzrechtlich nicht illegal.