Hinter der Idee der Souveränität (Selbstbestimmung) stecken überwiegend zwei Auffassungen: die staatliche und die rechtliche Souveränität einer natürlichen oder juristischen Person. Bis heute stehen beide in einem Abhängigkeitsverhältnis zueinander, das stets neu austariert werden muss. Denn wo endet die staatliche Souveränität und wo beginnt die rechtliche Souveränität eines Individuums oder Unternehmens? In diesem Spannungsverhältnis steht auch die sogenannte „Datensouveränität“. Wie wir bereits in Teil 1 erläutert haben, wird der Begriff sehr unscharf verwendet und unterliegt bis heute auch keinem klaren rechtlichen Rahmen. Allerdings ist er untrennbar verbunden mit dem Datenschutz – eine Idee, die im Zuge der zunehmenden Datenverarbeitung in der zweiten Hälfte des 20. Jahrhunderts immer populärer wurde. Gleichzeitig gibt es unterschiedliche Einschätzungen davon, wie ein souveräner Umgang mit Daten aussehen sollte und welche Schutzmechanismen (Datenschutz) nötig sind, um ihn auch durchsetzen zu können. Wie stark der Kontrast aussehen kann, zeigt das Beispiel zwischen den USA und der Europäischen Union. Obwohl beide Regionen große Ähnlichkeiten aufweisen und auf gemeinsame historische, kulturelle und wirtschaftliche Prägungen zurückblicken, herrschen unterschiedliche Auffassungen beim Umgang mit Daten. Woher die Unterschiede rühren, weshalb es dabei zu Konflikten kommt und warum für Unternehmen in der Praxis Handlungsbedarf bei der Auswahl des Standortes und ihres Datacenter- sowie Cloud-Anbieters besteht, zeigen wir in Teil 2 unserer maincubes-Blogreihe.
Souveränität oder: ein kurzer Blick in die Historie
Mit der Herausbildung der ersten Staaten, unter anderem in Mesopotamien, Ägypten und China, etwa im vierten bis dritten Jahrtausend vor Christus entstanden auch die ersten institutionalisierten Verhältnisse im Zusammenleben zwischen Menschen sowie die Idee staatlicher Gewalt. Etwa zur selben Zeit wurden auch die ersten Gesetzestexte hervorgebracht, die zwar einen schriftlich klar eingegrenzten Rahmen vorgaben, allerdings noch deutlich willkürlicher aufgefasst wurden. Selbst in den demokratischen Stadtstaaten im antiken Griechenland galt unter anderem das „Scherbengericht“, was nicht wirklich unserer Auffassung von Recht entspricht. Das änderte sich erst mit der Entwicklung eines umfassenden Rechtswesens im antiken Rom, dessen Grundzüge bis heute Bestand haben.
Die Souveränität von Staaten und Bürger:innen sowie das Verhältnis zwischen staatlichem Handeln und individuellen Bürgerrechten einschließlich des Rechts auf Privatbesitz entwickelte sich über die Jahrhunderte weiter und musste nicht selten erkämpft werden. So kam es neben rein theoretischen Schriften und akademischen Diskussionen im Laufe der Zeit zu historischen Ereignissen, in deren Folge welthistorische Dokumente entstanden, die praktische Auswirkungen bis in die Neuzeit haben. Darunter zählen unter anderem die Magna Carta von 1215, der Westfälische Friede von 1648, die amerikanische Unabhängigkeitserklärung von 1776 gefolgt von der Verfassung der Vereinigten Staaten von Amerika von 1787 (ratifiziert 1788), die Erklärung der Menschen- und Bürgerrechte im Zuge der französischen Revolution 1789 und schließlich die allgemeine Erklärung der Menschenrechte 1948. Die EU und die USA wandelten demzufolge kulturhistorisch auf gleichen Pfaden – und trennten sich ab einem bestimmten Punkt dennoch bei der Frage nach dem Datenschutz und dem souveränen Umgang mit (personenbezogenen) Daten.
Wie der Datenschutz in die USA und in die Europäische Union kam
Federführend waren zunächst die USA, als Anfang der 1960er Jahre die Pläne zur Errichtung eines nationalen Datenzentrums entworfen wurden. Das Vorhaben scheiterte im Kongress unter anderem mit Verweis auf die Vorstellung eines „Right to Privacy“, das bereits 1890 in einem Essay im Harvard Law Review postuliert wurde. Um klare Regeln für den Umgang von US-Bundesbehörden mit Bürgerdaten festzulegen, wurde 1974 der Privacy Act verabschiedet. Jedoch hatte das Gesetz einen Geburtsfehler: Aufgrund eines Gutachtens wurden die Regelungen mit dem Hinweis, der Wettbewerb würde dies regeln, nicht auf den privaten (Wirtschafts-)Bereich ausgedehnt. Als Folge ist der Umgang mit personenbezogenen Daten mit wenigen Ausnahmen, wie etwa bei Krankenversicherungen (Health Insurance Portability and Accountability Act), kaum reguliert oder eingeschränkt. Bis heute können US-Unternehmen selbst bestimmen, wie sie den Datenschutz angehen und ob sie überhaupt eigene Richtlinien dazu aufstellen. Besteht ein Hinweis auf einen Verstoß gegen eigene Regeln, schreitet die unabhängige US-Bundesbehörde Federal Trade Commission (FTC) ein, um den Fall zu untersuchen.
In Deutschland übernahm Hessen eine Vorreiterrolle, als das Bundesland 1970 das erste Datenschutzgesetz erließ – gefolgt vom ersten Bundesdatenschutzgesetz, das 1978 in Kraft trat. In der Europäischen Union ist der Schutz von personenbezogenen Daten sogar ein Grundrecht und als solches sowohl in der Europäischen Menschenrechtskonvention (Artikel 8) als auch der Europäischen Charta der Grundrechte (Artikel 7) verankert. Mit der Datenschutzrichtlinie (Richtlinie 95/46/EG), die das Europäischen Parlament und der Europäischen Rat 1995 verabschiedeten, wurden erstmals Mindeststandards für den Datenschutz der Mitgliedsstaaten festgelegt. 2012 veröffentlichte die EU-Kommission einen ersten Entwurf der europäischen Datenschutz-Grundverordnung (DSGVO). Dabei kam es im Zuge der Beratungen im EU-Parlament zu Anstrengungen vonseiten der US-Regierung und US-amerikanischer IT-Unternehmen, Einfluss auf den Inhalt der Verordnung zu nehmen. Seit dem 25. Mai 2018 ist die DSGVO innerhalb der Europäischen Union offiziell in Kraft und gilt seitdem als eine der weltweit strengsten Schutzvorschriften von personenbezogenen Daten.
Die Unterschiede beim Datenschutz zwischen den USA und der Europäischen Union basieren demnach auf verschiedenen Vorstellungen staatlicher Eingriffe in die Privatautonomie. Während in den Vereinigten Staaten vorwiegend die Freiheitsrechte in den Vordergrund rücken, wird in der EU eher Schutzrechten Vorzug gegeben. Das in den USA noch immer weitverbreitete Misstrauen gegenüber staatlichen Institutionen hat dazu geführt, dass der Schutz persönlicher Daten lediglich im Verhältnis zum Staat durch entsprechende Gesetze geregelt wird. Als Folge der Terroranschläge vom 11. September 2001 erließen allerdings verschiedene US-Regierungen mehrere Gesetze, die diesen Schutz deutlich abschwächten – und insbesondere weitreichende Konsequenzen im Umgang und dem Zugang zu Daten von nicht-US-amerikanischen Bürger:innen hatten.
Datensouveränität im Spannungsfeld zwischen USA PATRIOT Act und CLOUD Act
Was im Grunde unter dem Begriff der Datensouveränität verstanden wird, haben wir in Teil 1 bereits erläutert. Doch was macht den Begriff so kontrovers? Da es bislang weder eine eindeutige rechtliche Definition noch einen rechtlichen Rahmen für die Datensouveränität gibt, hängt es häufig vom Absender und dem dahinterliegenden Kontext ab, was darunter zu verstehen ist. So sehen einige Kritiker wie der Netzpolitik.org-Gründer Markus Beckedahl ihn als „Lobby-Begriff“ der Industrie. Es kommt demnach auch auf die jeweiligen Interessen an, wie der Begriff schließlich mit Inhalt gefüllt wird. Im Zuge der noch anhaltenden Diskussion besteht mittlerweile größtenteils Einigkeit darüber, dass neben infrastrukturellen und rechtlichen Voraussetzungen auch in Sachen Kompetenzen bestimmte Parameter erfüllt sein müssen, um eine echte Datensouveränität zu gewährleisten. Das bedeutet, dass auch innerhalb der Bevölkerung eine entsprechende Sensibilität und das dazu notwendige Wissen wichtig sind, um mit den eigenen Daten souverän umgehen zu können. Während mit der DSGVO bereits rechtliche Leitplanken bestehen und mit „GAIA-X“ auch in Sachen digitaler Infrastruktur ein Projekt auf EU-Ebene forciert wird, ist weitere Aufklärung unverzichtbar – ganz besonders unter den Bedingungen des USA PATRIOT Act und des CLOUD Act.
Obwohl bereits in der Vergangenheit Gesetze bestanden, die es US-Behörden erlaubten, auf Daten zuzugreifen – „Electronic Communications Privacy Act of 1986“ (ECPA) und „Stored Communications Act“ (SCA) – erweiterten 2001 der USA PATRIOT Act und 2018 der CLOUD Act diese Befugnisse noch einmal deutlich. So fallen Nicht-US-Bürger:innen durch den PATRIOT Act grundsätzlich unter den „Foreign Intelligence Surveillance Act (FISA Act)“, wodurch Ermittler deren Daten anfordern können. Der CLOUD Act schloss zudem die Lücke im Verfahren mit Daten, die bei US-Unternehmen und deren Töchtern außerhalb der USA liegen. Der in Teil 1 erwähnte Rechtsstreit zwischen den Vereinigten Staaten und Microsoft wurde schließlich auf Grundlage des CLOUD Act zugunsten der USA entschieden. Selbst der Softwaregigant begrüßte damals die damit geltende Rechtssicherheit. Zugleich betonten US-Anbieter wie Microsoft, Amazon oder Google, dass etwa die Daten von EU-Bürger:innen auch im Rahmen des CLOUD Act sicher seien. Immerhin unterliege die Weitergabe auch weiterhin strengen Vorgaben wie der detaillierten Prüfung durch einen unabhängigen US-Richter bevor ein Gerichtsbeschluss („court order“) oder eine gerichtliche Anordnung („warrant“) erfolgen.
Einige Beispiele zeigen allerdings, dass die Angaben der amerikanischen IT-Unternehmen und Service Provider mit Vorsicht zu genießen sind. So existiert unter dem CLOUD Act die Möglichkeit eines generelle Widerspruchsrechts, wenn dahingehend zwischen den USA und einem anderen Land ein sogenanntes Executive Agreement besteht. Ein solches Abkommen gibt es aktuell aber nur mit Großbritannien. Um etwa den Datentransfer zwischen der EU und den USA zu regeln, wurden zunächst das Safe-Harbor-Abkommen und anschließend der EU-US Privacy Shield beschlossen. Beide wurden jedoch vom Europäischen Gerichtshof (EuGH) mit der Begründung abgelehnt, dass unter den vorliegenden Bedingungen ein Datenschutz nach EU-Vorbild nicht gesichert werden könne. Schließlich nutzt auch Microsoft eine bestehende Lücke im CLOUD Act und bietet Leistungen etwa für Microsoft 365 (ehemals Office 365) über seine „Microsoft Cloud Deutschland“ an, die aus dem Rechenzentrum eines deutschen Betreibers gehostet wird. Allerdings endet das Angebot am 29. Oktober 2021 unter anderem wegen fehlender internationaler Anbindung. Die Dienste werden dann nur noch aus Microsoft-eigenen Rechenzentren in Frankfurt und Berlin bereitgestellt – was damit den Zugriff von US-Behörden auf die Daten wieder erleichtert.
Angesichts des Widerspruchs zwischen EU-DSGVO auf der einen und dem USA PATRIOT sowie dem CLOUD Act auf der anderen Seite besteht außerdem dringender Handlungsbedarf. Denn solange kein neues und vom EuGH abgesegnetes Abkommen zum Datentransfer existiert, gehen deutsche Unternehmen unter der Prämisse der Datenschutz-Grundverordnung ein hohes Risiko ein, wenn sie personenbezogene Daten auf Servern von US-Anbietern speichern. Hintergrund ist eine aktuell bundesweit laufende Untersuchung deutscher Datenschutz-Aufsichtsbehörden. Mittels Fragenkatalog wird dabei die Praxis deutscher Unternehmen ermittelt, bei der diese klar begründen müssen, weshalb sie auf US-Anbieter zurückgreifen. Demnach steht das Thema Datensouveränität auf der Ebene der genutzten IT-Infrastruktur im Fokus und möglichst schnelle Lösungen müssen gefunden werden.
In Teil 3 zeigen wir Ihnen, wie Sie am besten mit der Situation umgehen und weshalb Sie für die Daten Ihrer Kunden aus der EU besser auf Rechenzentrumsbetreiber mit Hauptsitz in der Europäischen Union zurückgreifen sollten.