365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Ständige Willkürmaßnahmen seitens der US-Regierung bedrohen nun auch die Nutzung US-amerikanischer IT-Dienste und Dienstleistungen. Die beruhen fast immer auf Datentransfers, doch deren Rechtsgrundlage scheint nicht mehr sicher. Das legt eine Warnung der Bundesinnenministerin nahe. Vor diesem Problem stehen europäische Unternehmen allerdings nicht zum ersten Mal.
Ob Zölle, die Zersetzung des Staatsapparates oder die Ignoranz gegenüber der Justiz, die Willkürmaßnahmen der Trump-Regierung sorgen für Unruhe und Misstrauen gegenüber den USA. Auch vergeht keine Woche ohne neue Meldung über willkürliche Datenzugriffe durch Elon Musks sogenanntes „Department of Government Efficiency“ (DOGE). Gleich zu 19 hochsensiblen Datenbanken des US-Gesundheitsministeriums „Health and Human Services“ (HHS) hat sich DOGE laut einem Bericht des US-Magazins Wired Zugriff verschafft. Das gibt Anlass zur Sorge, ob zumindest rudimentärer Datenschutz in den USA derzeit noch gewährleistet werden kann.
Aktuell befeuern Befürchtungen des Bundesinnenministeriums die Diskussion um den transatlantischen Datenaustausch. Demnach besteht die Gefahr, dass das „EU-U.S. Data Privacy Framework“ (DPF) wegbrechen könnte. Damit wäre die Nutzung US-amerikanischer IT-Dienste wie etwa Cloud-Angebote für europäische Firmen nicht mehr ohne weiteres möglich. Das auch „Transatlantic Data Privacy Framework“ (TADPF) genannte Abkommen ist die Grundlage für jeglichen Transfer personenbezogener Daten in die USA. Dazu zählt auch Cloud-Nutzung wie beispielsweise von AWS oder Azure. Ein solcher Transfer ist nur zulässig, wenn dort ein als etwa gleichwertig zur EU erachteter Datenschutz gewährleistet ist.
Die derzeitige Problemlage entstand durch radikale Maßnahmen der Trump-Regierung. Die Einhaltung des DPF wurde in den USA bisher durch ein Gremium überwacht, das „Privacy and Civil Liberties Oversight Board“ (PCLOB). Doch die Trump-Regierung stellt mit der Entlassung von fast allen Mitgliedern dieses Gremiums dessen Funktionsfähigkeit infrage. Aktuell ist Beth A. Williams die einzig im Gremium verbliebene Person. Es gilt als unmöglich, dass das Gremium seine Aufgaben unter diesen Bedingungen erfüllen kann.
Kurz vor Ostern äußerte die geschäftsführende Bundesinnenministerin Nancy Faeser Befürchtungen, dass das transatlantische Datenschutzabkommen DPF von Trump aufgekündigt werden könnte. Daraufhin erklärte Iris Plöger, Mitglied der Hauptgeschäftsführung des Bundesverbandes der Deutschen Industrie (BDI), im Handelsblatt, dies „hätte für Unternehmen und Behörden verheerende Folgen und würde zu großem Zusatzaufwand und Rechtsunsicherheit führen".
Ostermontag wurde bekannt, dass die neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Specht-Riemenschneider, umgehend nach Washington reist, um Gespräche mit der US-Regierung zu führen. Dazu zählen neben einem Gespräch mit dem PCLOB Gespräche mit gleich zwei US-Ministerien, dem Wirtschaftsministerium „US-Department of Commerce“ und dem Justizministerium „US-Department of Justice“, wie es in einer Pressemitteilung des BfDI heißt. Dies geschieht vorbei am noch amtierenden EU-Datenschutzbeauftragten Wojciech Wiewiórowski. Specht-Riemenschneider sei besorgt, ob die mit der EU vereinbarten Zusagen der USA im Rahmen des Data Privacy Frameworks weiter Bestand haben würden. Specht-Riemenschneider dazu: „Für deutsche und europäische Bürgerinnen und Bürger ist es entscheidend, dass ihre personenbezogenen Daten auch künftig geschützt bleiben, wenn sie beispielsweise Dienste von US-Unternehmen nutzen oder die Dienste von deutschen oder europäischen Unternehmen, die auf Datentransfers in die USA angewiesen sind“. Das BfDI fügt hinzu: „Auch Unternehmen brauchen Klarheit darüber, ob auf den EU-U.S. Data Privacy Framework weiterhin Verlass ist“.
Dabei galt das Data Privacy Framework schon zuvor als eher fragile Rechtsgrundlage für den transatlantischen Datentransfer. Was unter anderem an der initialen Aufgabe des Gremiums bei der Überwachung von Zugriffen durch Geheimdienste auf europäische Personendaten lag. Die vom österreichischen Juristen und Datenschutzaktivisten Max Schrems ins Leben gerufene Datenschutz-NGO NOYB („none of your business“) schreibt dazu: Die USA „haben weitreichende Gesetze zur Massenüberwachung (z. B. FISA702 oder EO 12.333). Diese ermöglichen es der US-Regierung, ohne hinreichenden Verdacht oder individuelle gerichtliche Genehmigung auf alle bei Amazon, Meta, Microsoft, Google und anderen US-amerikanischen Big-Tech-Unternehmen gespeicherten Daten zuzugreifen“. Darauf beruhen Befürchtungen, dass die Trump-Regierung willkürlich Daten von EU-Bürgern abgreifen könnte, wie es derzeit schon bei US-Bürgern erfolgt. Zu den Vorfällen beim PCLOB schreibt Schrems NOYB: „Dass der US-Präsident einfach Leute aus einer (angeblich) unabhängigen Behörde entfernt hat, stellt die Unabhängigkeit aller anderen Rechtsmittelinstanzen in den USA in Frage“.
Das Data Privacy Framework wurde erst 2023 nach mehrjährigen Verhandlungen von der EU verabschiedet. Zuvor hatte der Europäische Gerichtshof (EUGH) 2020 im sogenannten Schrems II Urteil den Vorgänger des DPF, die Privacy-Shield-Vereinbarung, für ungültig erklärt. Das wiederum war der Nachfolger des ebenfalls von Schrems in einer Klage vor dem EUGH bereits 2015 gekippten Safe-Harbor-Abkommens. In beiden Fällen hatte der EUGH entschieden, dass das US-Recht nicht annähernd einen zur europäischen Datenschutz-Grundverordnung (DSGVO) gleichwertigen Schutz bietet. Was das für Unternehmen bedeutet, haben wir damals in einem Interview Rebekka Weiß vom Bitkom gefragt.
Datentransfers in nicht europäische Länder sind seit längerem nur unter Auflagen möglich, um sensible Daten von EU-Bürgern zu schützen. „Generell verbietet das EU-Recht schon seit 1995 die Ausfuhr persönlicher Daten in Länder außerhalb der EU. Ausnahmen bestehen bei absoluter Notwendigkeit (z. B. beim Versand einer E-Mail in ein Nicht-EU-Land) oder wenn das Nicht-EU-Land einen 'im Wesentlichen gleichwertigen' Schutz der persönlichen Daten bietet“, schreibt die NOYB dazu.
Die bundesdeutsche Datenschutzbeauftragte wird während ihrer USA-Reise auch an dem gleichzeitig in Washington stattfindenden Datenschutzkongress „Global Privacy Summit“ der „International Association of Privacy Professionals“ (IAPP) teilnehmen. Ihre Behörde schätzt, dass bei der weltweit größten Konferenz im Bereich des Datenschutzes, bei der neben Teilnehmern aus Regulierungsbehörden und Regierungsvertretern auch Wirtschaft, Wissenschaft und Zivilgesellschaft vertreten sind, das DPF ein zentrales Thema sein dürfte.
Handelsblatt: Trump bedroht wichtigen Daten-Deal – Wirtschaft schlägt Alarm
Pressemitteilung BfDI: Specht-Riemenschneider reist zu Gesprächen nach Washington D.C.
Board Members Privacy and Civil Liberties Oversight Board
NOYB: US-Cloud bald illegal? Trump schlägt erstes Loch in EU-US-Datenabkommen
Wired: Here’s All the Health and Human Services Data DOGE Has Access To
CNN: DOGE is building a master database for immigration enforcement, sources say
