Interview mit mailbox.org-CEO Peer Heinlein zum Aus für's "Privacy Shield"

Die Nachricht kam für Viele überraschend und war ein kleines politisches Erdbeben: Der Europäische Gerichtshof (EuGH) in Luxemburg hat das erst 2016 eingeführte „Privacy Shield“ für rechtswidrig erklärt und gekippt. Dieses war die datenschutzrechtliche Grundlage für fast jeden US-basierten Cloud-Dienst wie beispielsweise Office 365, Gmail oder Facebook.

Für mailbox.org-Kunden hat das Urteil keine Auswirkungen. Als deutscher E-Mail-Anbieter achten wir bei mailbox.org besonders auf Datenschutz und rechtssichere E-Mail-Postfächer sowie Datenspeicherung. Unsere Server stehen in Deutschland und werden mit eigener IT-Infrastruktur in unseren Rechenzentren betrieben.

Da das Urteil dennoch Viele betrifft, sprachen wir mit mailbox.org-Geschäftsführer und Datenschützer Peer Heinlein über die Auswirkungen des Urteils, was Unternehmen jetzt tun müssen und was das alles für private Nutzer bedeutet.

Was besagt das Urteil und ab wann gilt das Urteil des EuGH?

Peer Heinlein: Wir genießen in Deutschland und in Europa ein sehr hohes Datenschutzniveau – gleichzeitig werden heute im Internet viele Daten auch in Rechenzentren außerhalb Europas, zum Beispiel in den USA, gespeichert und verarbeitet, wo dieses hohe Schutzniveau nicht gegeben ist. Genau das hat der Europäische Gerichtshof (EuGH) nun festgestellt: Die US-Gesetzgebung bietet kein für die DSGVO ausreichendes Schutzniveau, auch wenn der Privacy Shield politisch gewollt etwas anderes herbeidefinieren wollte. Dazu bot der Privacy Shield zu wenig Kontrollmöglichkeiten für europäische Datenschutzbehörden; so konnten sie selbst bei Zweifeln an der Rechtmäßigkeit eine Übermittlung der Daten gar nicht unterbinden, sondern mussten machtlos zusehen.

Das ging so natürlich nicht und so hat der Europäische Gerichtshof den EU-US-Privacy-Shield am 16. Juli 2020 in einem lang erwarteten Urteil in der Rechtssache „Schrems II“ (C-311/18) für unwirksam erklärt. Das Urteil ist ab sofort gültig.

Warum war der Privacy Shield wichtig?

Peer Heinlein: Der Privacy Shield war politisch gewollt. 2015 hatte der EuGH das sogenannte „Safe Harbour“-Abkommen für ungültig erklärt, das ohne Rücksicht auf die Fakten beschloss, dass die USA ein „sicherer Hafen“, also ein sicherer Speicherort, für europäische Daten seien. Damals standen viele Unternehmen plötzlich vor einem Daten-Desaster, denn über Nacht fehlte jede Rechtsgrundlage für eine Datenverarbeitung in US-Rechenzentren. Darum musste der Privacy Shield das Safe Harbour-Abkommen über Nacht ersetzen. Aber auch in diesem Anlauf war das Ergebnis politisch gewollt und hatte mit real existierendem Datenschutz nicht viel zu tun. -Weswegen der EuGH auch den Privacy Shield nun wenig überraschend für unwirksam erklären musste. Im Prinzip erleben wir also das gleiche, wie schon 2015.

Ein überraschendes Urteil? Schließlich sind Cloud-Dienste in den letzten Jahren erst populär geworden.

Peer Heinlein: Nein, überhaupt nicht überraschend. Datenschützer haben schon immer davor gewarnt, dass der Privacy Shield ein faules Ei ist und jedes Unternehmen, dass Daten bei einem US-Cloud-Anbieter speichert, mit dem Feuer spielt und über kurz oder lang vor einem Scherbenhaufen stehen wird. Schon 2016 habe ich in meinen Vorträgen genau davor öffentlich gewarnt. Wer sich auf US-Cloud-Dienste verlassen hatte, wusste worauf er sich einlässt – oder er war naiv und wollte es lieber nicht wissen. Denn wie die US-Behörden mit Daten umgehen und wie Unternehmen wie Facebook, Microsoft O365 & Co. dort an der kurzen Leine liegen, ist bekannt. Wenn jetzt in der Corona-Zeit beispielsweise Universitäten oder auch Schulen begonnen haben, Lehrer-E-Mails oder die Daten (minderjähriger!) Schüler zwangsweise in die O365-Cloud auszulagern, ist das schon echte Ignoranz und starker Tobak. Das ist für mich der eigentliche Skandal.

Warum sind meine Daten als Privatperson betroffen?

Peer Heinlein: Nun, die US-Behörden sind für ihren Datenhunger bekannt und wie wir beispielsweise aus der Praxis wissen, werden gerade Bürger, die in die USA einreisen, von den dortigen Behörden geradezu vorab ausgespäht. Wer suspekt ist, darf nicht einreisen oder hat andere Repressalien zu fürchten. Insofern sollte sich jeder überlegen, ob er seine Daten bei US-Cloud-Anbietern wie Google oder Microsoft speichert oder Videokonferenzsysteme wie Teams oder Cisco WebEx verwenden möchte. Das Problem stellt sich aber natürlich auch dann, wenn der Kommunikationspartner dort speichert. Vielen Unternehmen ist es egal, ob sie defacto die Integrität und Freiheit ihrer Kunden damit gefährden. Was heute dort analysiert und gespeichert wird, kann und wird uns erst in vielen Jahren massiv Probleme machen. Das Problem beim Datenschutz ist ja: Daten, die heute einmal in die Welt entfleucht sind, lassen sich defacto nie wieder zurückholen. Man weiß nie, was sie in 10 Jahren bewirken.

Hat der Privacy Shield überhaupt (Daten-)Schutz geboten?

Peer Heinlein: Nein, nicht wirklich. Er war vor allem ein politisches Konstrukt und sollte eine an sich sehr zweifelhafte oder unmögliche Datenverarbeitung rechtlich legitimieren und möglich machen. Sicherlich hat er damit auch für ein etwas höheres Datenschutzbewusstsein und eine gewisse Einhaltung von Grundregeln gesorgt, die in der US-Mentalität so nicht vorhanden gewesen wären. Aber am Ende hatten US-Behörden und auch Geheimdienste viel zu große Zugriffsmöglichkeiten auf die dort gespeicherten Daten, so dass nach europäischem Standpunkt nicht von echtem Datenschutz gesprochen werden kann.

Wie leicht war/ist es für amerikanische Behörden auf (europäische) Daten in der Obhut von US-Unternehmen zuzugreifen?

Peer Heinlein: Die US-Gesetzgebung ermöglichte den Behörden sehr weitreichende Zugriffe auf alle internationalen Daten, die sie verarbeiten. Jedes amerikanische Unternehmen muss schon auf eine sehr einfache Anfrage Zugang zu diesen Daten ermöglichen. In Deutschland haben wir hier ein sehr restriktives Vorgehen mit Gewaltenteilung – sobald Daten beschlagnahmt werden, muss ein Richter dies anordnen. In den USA können Polizei und Geheimdienste weitgehend unkontrolliert nach eigenem Ermessen auf die Daten zugreifen – und wie wir wissen, wird das ja auch im großen Stil getan.

Viele US-Cloud-Anbieter haben damit geworben und versichert, dass sie Daten auf Rechenzentren in Europa oder sogar Deutschland speichern. Hilft das beim Datenschutz?

Peer Heinlein: Nein, das hilft leider überhaupt nicht. Die USA sind ja weder bescheiden, noch dumm. Ein Unternehmen ist verpflichtet den Datenzugriff zu ermöglichen, wenn es seinen Sitz in den USA hat. Wo auf der Welt die Daten gespeichert werden, ist egal. Also nochmal ganz klar: Auch auf Daten in deutschen Rechenzentren haben Ermittlungsbehörden und Geheimdienste Zugriff, sobald es sich um ein US-Unternehmen handelt.

Warum schützt mich die DSGVO in diesem Moment nicht? Der EuGH hat ja auch davon gesprochen, dass die sogenannten „EU-Standardvertragsklauseln“ (SCC) nicht rechtsunwirksam sind.

Peer Heinlein: Egal, ob Sportverein oder Unternehmen: Wer Daten durch Dritte speichern oder verarbeiten lässt, muss aktiv sicherstellen, dass dieser den notwendigen Datenschutz einhält. Dies kann auch durch individuelle Kontrollen und eigene Verträge geschehen, die den Verarbeiter verpflichten, sich DGSVO-konform zu verhalten, die sogenannten „EU-Standardvertragsklauseln“. Der EuGH hat diese Variante ausdrücklich für zulässig und rechtswirksam erklärt. Theoretisch könnte ein Anbieter versuchen, mit Microsoft für Office 365 oder beispielsweise mit Facebook einen individuellen Schutzvertrag auszuhandeln. -Was natürlich so in der Praxis bei solchen Anbietern nicht einfach so gelingen wird. Aber sowieso: Aufgrund der US-Gesetzgebung sind US-Unternehmen i.d.R. gezwungen, den dortigen Behörden Zugriff zu gewähren – was nach der DSGVO so gar nicht erlaubt werden kann. In der Praxis also eine Zwickmühle zwischen zwei Rechtssystemen, die von den US-Softwarefirmen i.d.R. gar nicht aufgelöst werden kann. Darum sind solche Konstrukte wohl eher utopisch.

Warum muss ich als Unternehmen jetzt reagieren? Welche Möglichkeiten habe ich in dieser Situation?

Peer Heinlein: Der Privacy Shield ist bereits weggefallen, die entsprechenden Datenverarbeitungen sind rechtlich gesehen bereits illegal – bzw. waren es eben die ganze Zeit schon. Theoretisch müssten alle entsprechenden Cloud-Dienste und Datenverarbeitungen umgehend ausgesetzt und dort gespeicherte Daten gelöscht werden. Das ist in der Praxis natürlich kaum so schnell möglich. Aber selbst wenn man der Situation etwas Zeit gibt: Wer bislang Cloud-Anbietern außerhalb Deutschlands oder Europas vertraut hat, muss umgehend dafür sorgen, dass er wieder DSGVO-konform handelt – und die Bußgelder bei einem Verstoß gegen die DSGVO sind ja alles andere als Lappalien. In der Praxis heißt das: Umzug aller Datenverarbeitungen und Cloud-Dienste zu DSGVO-konformen europäischen, idealerweise rein deutschen Anbietern ohne US-Abhängigkeiten und internationalen Cloud-Rechenzentren, zum Beispiel zu mailbox.org.

Wie kann ich meine Daten in Zukunft rechtssicher speichern/verarbeiten?

Peer Heinlein: „Safe Harbour“ war ein politisch gewolltes Konstrukt ohne tatsächlichem Schutz, der „Privacy Shield“ ebenso. Selbst wenn über Nacht jetzt im Schnellanlauf eine dritte Variante aus dem Hut gezaubert wird: Die Datenspionage der US-Behörden ist praktisch mit deutschem und europäischem Datenschutzrecht nicht vereinbar. Kommt das nächste Konstrukt, wird auch dieses irgendwann gekippt werden. Wer Rechtssicherheit für sein Unternehmen haben will, der wird sich nach deutschen Anbietern umschauen müssen und kann diese ganze Problematik dann sehr schnell beruhigt aus der Ferne beobachten. Verbraucher achten zunehmend mehr auf Datenschutz – ähnlich wie beim ökologischen Fußabdruck oder im Bereich der sozialen Verantwortung müssen Unternehmen hier demonstratives Verantwortungsbewusstsein zeigen, wenn sie das Vertrauen der Verbraucher behalten oder gewinnen wollen.

Inwiefern betrifft dieses Urteil jetzt auch Kunden von mailbox.org?

Peer Heinlein: Das Gute ist ja: Gar nicht. Das ist ja gerade Aufgabe, Sinn und Zweck von mailbox.org. Für unsere Kunden betreiben wir mit hohem Aufwand eigene Rechenzentren in Berlin, verwenden nirgendwo Cloud-Anbieter, kooperieren nicht betriebsrelevant mit internationalen Firmen und wir haben schon immer darauf geachtet, dass wir keine internationalen Abhängigkeiten haben. Wenn unser SSL-Zertifikat aktuell noch in der Schweiz ausgestellt wird, führte das schon zu internen Diskussionen und ist eine echte Ausnahme, weil es die Sicherheit erhöhte. Was IT und Rechenzentren angeht machen wir schon immer alles selber. Also: Für unsere Kunden ändert sich darum nichts – und wir sehen uns in unserer bisherigen Politik und Strategie definitiv bestätigt.

Soweit wir für unser Unternehmen auf intern genutzte Softwarelösungen wie Steuer/Finanzsoftware, Ticketsysteme, Wikis oder Personalverwaltungen zurückgreifen, nutzen wir weitgehend deutsche Anbieter oder betreiben die jeweilige Software, wann immer es möglich ist, ebenfalls direkt in unseren Rechenzentren, statt auf Cloud-Dienste des Anbieters zurückzugreifen. Und wo wir in Einzelfällen doch einmal internationale Anbieter verwenden, haben wir auf rechtswirksame EU-Standardvertragsklauseln geachtet. Außerdem wird die eingesetzte Software regelmäßig neu geprüft. Unser Datenschutzbeauftragter Peer Hartleben kontrolliert und grillt jeden Zulieferer, bevor er seine Zustimmung erteilt.

Das Interview führte Frank Delbruegge