EuGH-Urteil zu Safe Harbour – und die Reaktion der Vordenker-Zeitschrift DIE ZEIT

Ich bin gerade in einer typischen Entwickler-Stress-Phase. Aber soviel Zeit muss sein. Man glaubt es ja nicht, welche Reaktionen nun ausgerechnet aus dem Bildungsbürgertum dieser Republik zum EuGH-Spruch bzgl. des “Safe Harbour”-Abkommens (oder amerikanisch: “Safe Harbor”) veröffentlicht werden! So vor kurzem (08.10.) in der “ZEIT ONLINE”. Siehe:
Das EuGH hat ein Monster erschaffen
Erst dachte ich ja, der Titel “Der EuGH hat ein Monster erschaffen” sei Ironie – leider lag ich da wohl falsch. Nach dem Lesen des Artikels konnte ich zunächst nur den Kopf schütteln …

Jedem halbwegs verständigen europäischen Menschen, der sich mit IT auseinandersetzt, konnte und musste klar sein, dass das EuGH-Urteil ernsthafte Folgen nach sich ziehen wird – aber Gott sei Dank doch zunächst im positiven Sinne für die betroffenen Menschen in Europa, die die Dienste und Software außereuropäischer und im Besonderen amerikanischer Konzerne im privaten wie beruflichen Umfeld nutzen wollen oder müssen. U.a. für Kommunikation im Internet, soziale Netzwerke, etc. – aber eben nicht nur dafür, sondern auch für ganz handfeste berufliche Dinge.

Es geht im Urteil keineswegs nur um das “Verwerten” von Internet-Kommunikationsdaten

Um den ZEIT-Artikel richtig einschätzen zu können, muss man sich zunächst Folgendes klarmachen:

Es geht beim EuGH-Urteil im Kern nicht allein um den Zugriff irgendwelcher Geheimdienste auf die Kommunikatonsdaten von Internet-Nutzern, wie dies in den ersten Reaktionen der Fernsehmedien etwas unzulänglich kolportiert wurde. Es geht vielmehr ganz grundsätzlich um informationelle Selbstbestimmung und rechtlichen Schutz personenbezogener Daten als Teil der Privatsphäre. Der EuGH führte aus (zitiert nach der “ZEIT ONLINE”):

“Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens” …. “Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.”

Für den vollen Wortlaut siehe:
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf

Ich zitiere zur Sicherheit auch die entscheidenden Passagen aus dieser Quelle:

As regards a level of protection essentially equivalent to the fundamental rights and freedoms guaranteed within the EU, the Court finds that, under EU law, legislation is not limited to what is strictly necessary where it authorises, on a generalised basis, storage of all the personal data of all the persons whose data is transferred from the EU to the United States without any differentiation, limitation or exception being made in the light of the objective pursued and without an objective criterion being laid down for determining the limits of the access of the public authorities to the data and of its subsequent use. The Court adds that legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life.

[Hervorhebungen von mir]

Es ist festzustellen, dass es um alle Transfers
personenbezogener Daten
in die USA geht – sowie um den dortigen Zugang zu solchen Daten. Nicht nur um Kommunikationsdaten, die allerdings im Text nochmal extra erwähnt werden.

Das Urteil stellt den geltenden Rechtsrahmen klar und offenbart Defizite bei der Einforderung der Rechtssicherheit im Umgang mit personenbezogenen Daten durch die Verantwortlichen

Endlich wird ein Tatbestand, der seit Jahren offen und rücksichtslos von diversen SW- und IT-Dienste-Anbietern allein schon aus kommerziellen Interessen – aber möglicherweise auch auf Druck ihrer Regierungen – heraus praktiziert wird, als potentieller Rechtsbruch entlarvt und unter Vorbehalte und rechtliche Schutzmöglichkeiten des Verbrauchers bzgl. Schutz, persönliche Einsichtnahme, Korrektur und Löschung der gesammelten Daten gestellt.

Den mutigen Richtern haben sich damit deutlich von der Gleichgültigkeit, die viele Regierungsverantwortliche in Europa bislang aus falsch verstandener Bündnistreue und entgegen freiheitlichen Grundprinzipien praktiziert haben, abgesetzt. Diesem Gericht und ihren Richtern gebührt im Namen der europäischen Demokratien Respekt und herzlichster Dank!

Durch das EuGH-Urteil werden elementarste Prinzipien einer demokratisch und freiheitlich verfassten Grundordnung deutlich angesprochen und bestätigt. Zugleich wird der Illusion, zu der auch Politiker hierzulande beigetragen haben, von weltweit operierenden IT-Dienstleister gesammelte und auf eigene Server transferierte Daten seien sicher, ein Ende gesetzt. Das Urteil reicht dabei – nach meiner Meinung – in seinen generellen Aussagen über Facebook und die USA hinaus.

Auch aus technischer IT-Sicht gilt: Ohne besondere Vorkehrungen gibt es zur Zeit keinen wirksamen Schutz der Daten, die wir leider so bereitwillig im Internet preisgeben oder unseren PCs/Laptops und mobilen Geräten anvertrauen. Warum sollten wir ohne konkrete Nachweise SW-Herstellern bzgl. eines sorgsamen Umgangs mit unseren personenbezogenen Daten trauen, die mit diesen Daten und den daraus erstellten Persönlichkeitsprofilen erklärtermaßen Handel treiben wollen? Das Ziel ist ja von vornherein nicht zwingend eine sichere Lagerung, sondern die kommerzielle Nutzung und im Einzelfall sogar die Weitergabe dieser Daten.

Aber zumindest der europäische Bürger hat – und das stellt das Gericht fest – eben ein Anrecht auf sorgsame, gesicherte Behandlung seiner Daten. Das Urteil ist somit auch eine Ohrfeige für all jene, die es bisher versäumt haben, die entsprechenden Vorkehrungen auch im Internet zwingend einzufordern – von außereuropäischen wie europäischen Dienstleistern. Es trifft damit auch unsere Regierungen und etliche Datenschutzverantwortliche, die dem bisherigen Treiben nur zugesehen haben – oder die die seit Jahren bestehenden Probleme einfach nicht wahrhaben wollten.

Man kann sich deshalb eigentlich nur wundern, warum es nun Gejammer und Gegenreaktionen auch in Europa gibt (s. http://www.heise.de/newsticker/meldung/Safe-Harbor-EU-Kommission-sieht-nach-EuGH-Urteil-keinen-Grund-Datenfluesse-zu-stoppen-2840005.html). Bei ein wenig Nachdenken wird allerdings klar, warum die Betroffenheit jenseits und auch diesseits des Atlantiks so groß ist …

Ein Beispiel für Datentransfers außerhalb reiner Internet-Kommunikation und der Bezug zum deutschen Datenschutzgesetz

Ich habe jüngst an einem Workshop teilgenommen, der Sicherheitsthemen als Schwerpunkt hatte. Interessanterweise waren sich viele Teilnehmende (darunter auch Vertreter namhafter Firmen) in zwischenzeitlichen Kaffee-Diskussionen darin einig, dass z.B. die Eulas und Nutzungsbestimmungen von MS zu Windows 10 je nach Einsatzumfeld bereits an der Grenze zur Verletzung deutscher Datenschutzregelungen liegen. In einer Standardinstallation werden praktisch alle denkbaren
personenbezogenen Daten, die auf einem Win 10 Home-System entstehen (z.B. auch Mails), in die USA transferiert. Siehe hierzu auch
https://linux-blog.anracom.com/2015/08/11/win-10-linux-im-namen-der-informationellen-selbstbestimmung/

Das EuGH-Urteil dürfte deshalb ggf. auch für europäische IT-Dienstleister interessant werden, die sich nun bei Ihren Auftraggebern eigentlich regelmäßig rückversichern müssten, ob sie denn im Auftrag des Kunden tatsächlich Systeme (wie etwa, aber natürlich nicht nur MS Win 10 Home) installieren oder zur Datenverarbeitung einsetzen dürfen, bei denen potentiell die Gefahr des Datentransfers personenbezogener Daten auf Server der SW-Hersteller im Ausland besteht – ohne hinreichenden Schutz vor Missbrauch und ohne Kontrolle der betroffenen Personen. Zumindest potentiell würde bei der Installation von Systemen, die personenbezogene Daten pauschal und oft ungefragt nach Übersee transferieren, ja Vorschub zu einer Straftat geleistet, wenn nicht der Auftraggeber dem explizit zustimmt.

In diesem Sinne schlägt das EuGH-Urteil nun auch eine breite Bresche für die konsequente Anwendung deutscher Datenschutzbestimmungen. Alles Dinge, die eigentlich selbstverständlich sein sollten – es aber de facto immer weniger sind. Der EuGH hat dankenswerterweise klargestellt, dass IT-Konzerne und IT-Dienstleister, die diese Leitplanken ignorieren, rechtswidrig handeln. Das gilt natürlich nicht nicht nur für Online-Dienstleister in den USA. Die Folgen des Urteils reichen aber über Online-Dienste und soziale Medien hinaus.

Kritik an den Falschen

Entlarvend und enttäuschend ist es allerdings, wenn jetzt die ZEIT unter dem Titel “das EuGH” hat eine Monster erschaffen”
http://www.zeit.de/digital/datenschutz/2015-10/safe-harbor-eugh-konsequenzen
in den Chor derjenigen einstimmt, die sich nach dem EuGH-Spruch verwundert die Augen reiben und das Jammern anfangen. Auch inhaltlich spiegelt der Artikel eher Verständnis für die IT-Industrie mit nun angeblich so schwierigen bis kaum lösbaren Problemen wieder.

Die Debatte hat da wirklich Orwellsche Züge angenommen:
Die Kritik des ZEIT ONLINE – Artikels richtet sich in der gewählten Ausdrucksweise gegen die rechtsprechende Instanz, die die bestehenden Verstöße gegen freiheitliche Grundrechte feststellt und ihnen endlich einen wirksamen Riegel vorschieben will – und nicht gegen die Täter, die vom Kommerz mit personenbezogenen Profilen getrieben immer schon sehr genau wussten und wissen, was sie tun (man lese als Beispiele nur die Nutzungsbedingungen von MS, von Google oder auch mal von Kaspersky). Das ist irgendwie absurd – und einer Vordenker-Zeitschrift nicht angemessen.

Wo liegen die eigentlichen Probleme? Z.T. bei uns in Europa …

Die eigentlich schwierigen Probleme im Kontext des Urteils liegen tatsächlich ganz woanders:

Das EuGH zeigt letztlich unsere eigenen Versäumnisse in Europa auf. Wir müssten uns nämlich gar nicht über die festgestellten Rechtsverstöße der IT-Dienstleister aus Übersee aufregen, wenn wir unseren Bürgern denn eigene Alternativen anbieten könnten. Können wir aber z.Z. nicht. Das ist eine Folge von Versäumnissen der Wirtschaft, aber auch von fehlender Um- und Weitsicht unserer Regierungsverantwortlichen für die Sicherstellung grundlegender und strategisch wichtiger Infrastrukturen. Und wenn es eine strategisch überragend wichtige Infrastruktur in einer modernen Demokratie gibt, dann wohl das Internet.

1. Plattformen in Europa ?

Das erste große Problem (?) in diesem Zusammenhang ist, dass wir als Bürger die neuen (oder neue, ähnliche) Multimedia-Dienste nicht mehr missen und gerne dauernd nutzen wollen – allerdings auf einer rechtlich einwandfreien Grundlage.

Entsprechende Plattformen und Infrastrukturen, die den
Sicherheitsanforderungen des EuGH genügen würden, ließen sich sich unter den aktuellen Bedingungen wohl nur in Europa selbst schaffen. Amerikanische Firmen müssten sich auf entsprechende vertragliche Konstrukte mit europäischen Dienstleistern einlassen oder Ableger gründen, die alleine an europäisches Recht gebunden sind. Das ist ein Spielwiese für Juristen und die Vertrags- wie Planungs-, Kosten- und Kontrolling-Abteilungen der IT-Konzerne. Aber vermutlich juristisch nicht unmöglich. Und man behaupte nicht, es gäbe gerade für die Großen der IT-Branche keine hinreichenden technischen Möglichkeiten …. Rechtskonforme Plattformen in Europa erfordern aber in jedem Fall Investitionen – kein Wunder, dass die Hersteller schreien.

2. Die Fragwürdigkeit aktueller SW-Eulas und SW-Nutzungsbedingungen, die das Abgreifen und den Transfer personenbezogener Daten verlangen

Der eigentliche Sprengstoff liegt aber womöglich in den eingeräumten Rechten des betroffenen Nutzers – wobei ich die Frage, ob der im Zitat der ZEIT genannte Rechtsbehelf hier förmliche, gerichtliche Schritte erfordert oder unförmlich erfolgen darf, nicht beantworten kann.

Im Zweifel liegt aber die Vermutung nahe, dass das was SW-Hersteller uns pauschal in den Eulas und Nutzungsbestimmungen zu ihren Produkten abverlangen, mit europäischem Recht evtl. nicht oder nicht ohne weitere Einschränkungen vereinbar ist. Die Nutzung vieler SW-Produkte nicht nur von amerikanischen Herstellern setzt heute über EULAs, Nutzungsbedingungen und Service-Statements die pauschale Erlaubnis des Users zum Abgreifen aller möglichen, eben auch personenbezogener Daten durch den Hersteller voraus (s. Windows 10 Home). Enthalten ist dabei in der Regel die Zustimmung zum Transfer solcher Daten auf Server in den USA. Das erscheint nach dem Urteil mehr als problematisch. Zudem ist aber von Offenlegung, Löschung oder Korrektur der erhobenen Daten meist überhaupt nicht die Rede.

Das EuGH trifft eben nicht nur Online-Dienste, für die die Konsequenzen aktuell in den Medien diskutiert werden. Viele Nutzungsvereinbarungen passten ja z.T. schon früher in vielen Anwendungssituationen nicht zu deutschen Datenschutzvorschriften. Man denke nur mal an einen unbedarften Arzt oder Psychologen, der Daten zu seinen Patienten unverschlüsselt auf einer standardmäßig installierten Windows 10 Home Plattform ablegen oder gar über MS-Mail-Programme mit einem Patienten kommunizieren würde. MS erlaubt sich, auch Mail-Bodies in der Standardinstallation von einem PC abzuziehen! Ein verschlüsselter Transfer nutzt dabei gar nichts, wenn Kopien der Mails selbst unverschlüsselt in einer Mailbox des Mail-Clients abgelegt werden.

Ganz unabhängig von MS ist man versucht zu prognostizieren, dass die meisten aktuellen SW-Nutzungsbestimmungen von sog. Standard-SW und auch von Mobile Devices sich bei genauerem Hinsehen als nicht kompatibel mit dem EuGH-Sprich herausstellen werden, denn lt. EuGH-Urteil müssen dem User eben Zugangs-, Änderungs- und Lösch-Rechte auf Verlangen mittels Rechtsbehelf eingeräumt werden. Ich bin wirklich gespannt, wie MS mit der Aufforderung eines MS Windows 10 Benutzers, der Einsicht und Löschung aller seiner Daten fordert, umgehen wird.

Fehlende Internet-Kommunikationsdienste europäischer Hersteller
Drittens macht das Urteil jetzt für objektive Beobachter des IT-Geschehens erneut schmerzlich den Mangel an zu Facebook und Google vergleichbaren Dienste-Plattformen europäischer und deutscher Unternehmen bemerkbar. Man nehme mal an, einige amerikanischen Konzerne böten ihre Dienste in Europa nicht mehr, nur reduziert oder auf Basis verschärfter Nutzungsbedingungen an. Welchen Ersatz hätten wir? Wie könnten und würden wir dann die gewachsenen Grundbedürfnisse elektronischer Kommunikation noch sicherstellen?

Seit Jahren tun wir so, als sei der Vorsprung der außereuropäischen Giganten uneinholbar – aber weder Wirtschaft noch Staat fördern den Aufbau eigener von
europäischen Dienstleistern betriebenen, qualitativ und quantitativ hinreichender Informations-Infrastrukturen, die früher oder später den Googles und Facebooks dieser Welt Parole bieten könnten. Der EuGH-Spruch legt aus meiner Sicht letztlich die gigantischen Defizite bzgl. des strategischen IT-Arbeit in unseren Gesellschaften bzgl. der Erstellung eigener, sicherer IT-Infrastrukturen offen. Hätten wir eigene europäische Angebote, hätten auch die Verbraucher eine dem Wettbewerb und damit dem Markt sicher zuträgliche Alternative.

Zu geringe Anstrengungen im Sicherheitsbereich
Wirklich schmerzlich bemerkbar wird sich in naher Zukunft noch machen, in welcher Form deutsche oder europäische Unternehmen eigentlich die Sicherheit der zu schaffenden oder im Auftrag von ausländischen Unternehmen betriebenen Netze und Kommunikationsinfrastrukturen für soziale Medien-Dienste vom Kaliber Facebook technisch realisieren wollen. Schutz hieße hier nicht nur der Schutz gegen Script-Kiddies sondern auch gegen den unbefugten Zugriff von interessierten, ressourcen-starken Organisationen, die ggf. rechtswidrigen Zugang suchen. Die aktuellen Plattformen der Verbraucher aus “Closed Source” SW-Fabriken dürften dafür kaum eine geeignete Grundlage bieten.

Fazit und Konsequenzen

Die Intention des ZEIT ONLINE Artikels bleibt mir ein Rätsel. Die Kritik geht in eine absurd falsche Richtung, und der Artikel setzt sich überhaupt nicht mit den wirklichen Defiziten in der europäischen IT-Landschaft auseinander. Es werden deshalb auch nicht die notwendigen Schritte und Konsequenzen aufgezeigt. Liebe Leute von der ZEIT: Das war nix …

In einem Linux-Blog wird es nicht verwundern, dass ich der Meinung bin, dass wir sichere elektronische Plattformen, die den Anforderungen des EuGH genügen, auf Open Source Basis aufbauen sollten und können – und uns in Europa systematisch vom Zugriff der bekannten Datenkraken befreien sollten. Im privaten, im beruflichen wie im öffentlichen Umfeld. Im Gegensatz zu MS Win Systemen werden wir bei den meisten Linux-Distributionen nicht zur Erlaubnis des Transfes aller personenbezogener Daten als Nutzungsvoraussetzung aufgefordert. Aber auch bei linux-basierten Betriebssystemen und Anwendungs-SW gilt es wachsam zu bleiben – nur hat man dank Quell-Offenheit hier auch eine Chance, Fehlentwicklungen zu erkennen und zu korrigieren.

Und natürlich bin ich als Inhaber eines personenbezogenen Zertifikats zur qualifizierten Durchführung von internen ISMS-/ISO 27000-Audits auch folgender Meinung:

Wir IT-Verantwortlichen und IT-Berater sollten die Normen und Best Practice Vorgaben der ISO 27000-Reihe vermehrt als Leitfaden für ein verbessertes Management der IT-Sicherheit sowohl im Firmen- als auch im Umfeld der öffentlichen Verwaltung heranziehen. Informationssicherheit ist mehr als Technik – das macht auch das EuGH-Urteil wieder deutlich. Risikobewertungen als Ausgangspunkt von Maßnahmen zur Verbesserung der IT-Sicherheit wie des Datenschutzes tun Not. Die ISO 27000-Reihe gibt hier die richtigen Anregungen. Und als potentielles Risiko ist künftig auch die Behandlung von personenbezogenen Daten in Übersee zu werten ….

Weitere Links:
http://www.sueddeutsche.de/digital/max-schrems-vs-facebook-ein-sensationelles-urteil-1.2679191
http://www.faz.net/aktuell/wirtschaft/maechtige-internetriesen/uld-schlewigholstein-haelt-safe-harbor-fuer-nicht-umgehbar-13858360.html