Der folgende Text erschien ursprünglich im Blog von David Heinemeier Hansson, dem Schöpfer von Ruby on Rails und Mitgründer & CTO von 37signals (Basecamp & HEY). Wiedergabe und deutsche Übersetzung mit Einwilligung des Autors.
Vor zwei Jahren hat der Europäische Gerichtshof das Privacy-Shield-Konzept für ungültig erklärt. Europäische Unternehmen haben seitdem versucht, das Urteil zu befolgen – allerdings ohne die Art zu ändern, wie sie amerikanische Internetdienste nutzen.
Der irrtümliche Konsens scheint zu sein, dass Unternehmen nur einen amerikanischen Anbieter dazu bringen müssen, ihre Daten auf Servern in der EU zu speichern, und schon sei alles in Ordnung. Oder, noch schlauer, diese Server einer (hundertprozentigen) europäischen Tochtergesellschaft unterstellen. Aber keine dieser Mogelpackungen hat etwas an dem grundlegenden Problem geändert, über das der Europäische Gerichtshof entschieden hat. Es war eine totale Täuschung.
Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen aus einem bestimmten Grund gekippt: weil amerikanische Geheimdienste wie die NSA amerikanische Unternehmen zwingen können, Daten von europäischen Bürgern herauszugeben, ohne auch nur einen Gerichtsbeschluss zu benötigen.
Dies ist das Massenüberwachungsregime, das Snowden 2013 aufgedeckt hat und das größtenteils bis heute fortbesteht (trotz kleinerer Änderungen in Bezug auf die Fähigkeit des Programms, Amerikaner auszuspionieren). Dieses System wird durch Mechanismen wie das Schein-Gericht FISA gestützt, das nach dem berüchtigten Abschnitt 702 arbeitet.
Inhalt
Zugriff > Ort
Diese Massenüberwachungsmechanismen kümmern sich nicht im Geringsten darum, wo sich die Daten befinden. Sie interessieren sich nur dafür, wer die Daten kontrolliert – und ob diese Stellen gezwungen werden können, sich an das US-Gesetz zu halten.
Wenn du ein europäisches Unternehmen bist und deine E-Mails von Microsoft gehostet werden, ist es dem FISA-Gericht völlig egal, ob sich die physischen E-Mail-Daten in Redmond oder Rotterdam befinden. Alles, was es interessiert, ist, ob es Microsoft dazu zwingen kann, die Daten auszuspionieren. Und das kann es, denn Microsoft ist ein US-Unternehmen. Kein noch so grosser Umweg über den Standort von Servern, rechtliche Strukturen oder andere Täuschungsmanöver wird die US-Geheimdienste von deinen Daten fernhalten, wenn sie sie haben wollen.
Amerikanische Unternehmen können europäischen Unternehmen keine Garantien für den Datenschutz geben
Daher ist es unmöglich für ein amerikanisches Unternehmen, europäischen Unternehmen Garantien für den Datenschutz zu geben. Das ist auch der Grund, warum der Europäische Gerichtshof so geurteilt hat, wie er es getan hat!
Jetzt verstehe ich, warum europäische Unternehmen und ihre amerikanischen Anbieter einen Weg gefunden haben, um so zu tun, als ob sie das Urteil einhalten würden, ohne sich tatsächlich an das Urteil zu halten. Denn die vollständige Einhaltung des Urteils bedeutet im Grunde ein totales Verbot für europäische Unternehmen, amerikanische Internetdienste zur Speicherung oder Verarbeitung ihrer Daten zu nutzen. Damit würde eine grosse Datenschutzmauer zwischen Europa und Amerika errichtet, die grosse Teile des Handels ausschliessen würde, um die Europäer vor den amerikanischen Geheimdiensten zu schützen.
Europa von seiner besten Seite?
Und in typisch europäischer Manier haben sich das Urteil und die populären Interpretationen des Urteils über diese offensichtlichen Auswirkungen ausgeschwiegen. Sie verlagerten einfach die Last, die logische Schlussfolgerung zu ziehen – ein Verbot der meisten amerikanischen Internetdienste – auf die einzelnen Unternehmen. Das war ein gefundenes Fressen für Anwälte in ganz Europa, die massgeschneiderte Analysen und Abhilfestrategien für Dinge ausheckten, die eigentlich klar und allgemein gültig sein sollten. Das war europäische Bürokratie in ihrer schlimmsten Form.
Aber auch europäische Prinzipien von ihrer besten Seite! Der Europäische Gerichtshof muss gewusst haben, dass sein Urteil ein Erdbeben für den Handel sein würde, aber er hat sich trotzdem dafür entschieden, es unter Beachtung höherer Prinzipien zu fällen. Damit sind sowohl die europäischen Unternehmen als auch die Politiker in der unangenehmen Lage, die Schlüsse daraus zu ziehen.
Wir haben uns mit all diesen Fragen ausführlich beschäftigt, als 2020 das Urteil zu Schrems II erging. Ein ganzes Team von Anwälten in den USA untersuchte, ob wir, 37signals, als amerikanisches Unternehmen irgendeine Konstellation von Tochtergesellschaften, Servern in Europa oder was auch immer konstruieren könnten, um zu verhindern, dass uns etwas wie FISA Section 702 zwingt, Daten europäischer Bürgerinnen und Bürger herauszugeben, falls die Behörden ohne Vorwarnung anklopfen. Die Antwort war klar: Nein.
Jetzt haben die Regierungen der USA und Europas das Privacy Shield 2.0 entwickelt, das Trans-Atlantic Data Privacy Framework (EU-U.S. DPF). Es enthält eine lange Liste vager Verpflichtungen zu den europäischen Datenschutzgrundsätzen und bietet den Amerikanern so viele Vorbehalte, dass sie weiterhin tun können, was sie wollen und schon immer getan haben.
Mit anderen Worten: Es handelt sich um ein weiteres peinliches Täuschungsmanöver, das vor dem Europäischen Gerichtshof höchstwahrscheinlich keinen Bestand haben wird. Aber weil sich die Räder der Justiz bei diesem Gericht so langsam drehen, wird es wahrscheinlich noch viele Jahre lang als Deckmantel ausreichen, damit die Europäerinnen und Europäer weiterhin amerikanische Dienste nutzen können. Während die amerikanischen Geheimdienste ihr Massenüberwachungsregime mit der gleichen Rechtfertigung der Terrorismusbekämpfung fortsetzen, wie sie es immer getan haben.
Jetzt gibt es also einen weiteren Versuch, mit einem Augenzwinkern so zu tun, als würde man dem ursprünglichen Schrems-II-Urteil nachkommen. Damit werden die Millionen von Stunden, die von Anwälten in Rechnung gestellt wurden, um einen massgeschneiderten Ausweg aus der ungewissen Haftung seit 2020 zu finden, hinfällig. Genial. Die perfekte Illustration für unser Zeitalter der Bullshit-Jobs.
Die wahren Gewinner sind die Unternehmen, die sich nie die Mühe gemacht haben, sich auf die Scharade einzulassen, die Anwälte, die ihre teure Rolle bei der Scharade gespielt haben, und die amerikanischen Datenspione, die kein Byte ausgelassen haben.
Das Beste an der ganzen Sache ist, dass wir wahrscheinlich die Chance haben werden, diesen Tanz im Jahr 2029 zu wiederholen, oder wann immer der Europäische Gerichtshof wieder entscheidet. Hol dir jetzt deine Tickets für Schrems III: Return of the Austrian.
Fazit
Amerikanische Unternehmen werden sich niemals den Forderungen der amerikanischen Geheimdienste widersetzen können. Dabei spielt es keine Rolle, ob sich ihre Server in Virginia oder Paris oder auf dem verdammten Mond befinden. Europa sollte sich entweder mit dieser Realität abfinden oder trotz der Kosten eine echte Datenschutzmauer errichten. Aber bis Europa sich entschieden hat, wäre es klug, wenn die europäischen Unternehmen die ganze Scharade ignorieren würden. So wie es die meisten von ihnen ohnehin schon getan haben.
PS: Friendly gehört zu den wenigen Software-Anbietern, die alle Daten nur bei Providern mit Hauptsitz in der Schweiz oder der EU speichern – und nicht in den Clouds der US-Tech-Konzerne. Entdecke unsere Produkte.
Friendly in deinem Postfach? Abonniere unseren Newsletter.
