Schrems II – ein Agenten-Thriller?
Claus Ulmer, Konzernbeauftragter für den Datenschutz, über die Corona-Warn-App, Schrems II und die Herausforderungen der Zukunft, anlässlich des Europäischen Datenschutztages.
Herr Ulmer, heute ist der Europäische Datenschutztag. Das zeigt die Bedeutung von Datenschutz in Europa. Ein aktuelles Beispiel ist das sogenannte Schrems II Urteil des EuGHs vom Juli 2020. Es hatte weitreichende Auswirkungen auf die Übermittlung von personenbezogenen Daten in Drittländer, insbesondere die USA. Welche Maßnahmen wurden bei der Deutsche Telekom bisher ergriffen und wie könnte auch künftig eine Datenverarbeitung sichergestellt werden?
Claus Ulmer: Ein Meilenstein vor 40 Jahren für den europäischen Datenschutz. Deutschland hatte damals den Vorsitz im Ministerkomitee des Europarates. Gefeiert wird die Geburtsstunde der „Datenschutzkonvention 108“. Seither hat der europäische Datenschutz immer weiter an Bedeutung und Kraft gewonnen.
Ganz richtig, ein gutes Beispiel ist die Entscheidung des EuGHs mit dem Grundsatzurteil in Sachen Max Schrems gegen Facebook, dass das Privacy Shield-Abkommen zwischen der EU und den USA (Privacy Shield) unwirksam ist. Das Privacy Shield sollte in den USA ein sogenanntes angemessenes Datenschutzniveau herstellen. Das Urteil enthielt keine Übergangsfrist. Der Datentransfer in Drittländer auf Basis des Privacy Shields war also unmittelbar untersagt. Die fehlende Übergangsfrist war natürlich eine Herausforderung für die Unternehmen und deren Datenschützer. Einerseits waren wir darauf gut vorbereitet, weil die Deutsche Telekom sich schon früher nicht auf das Privacy Shield verlassen hat, sondern mit den sogenannten Standardvertragsklauseln gearbeitet hat, die per se höhere Standards setzen.
Allerdings setzte das Urteil auch darüber hinaus neue Anforderungen, die es zu überprüfen galt und gilt. Zudem mussten wir klären, ob sich alle operativen Bereiche an unsere Vorgaben, nicht auf das Privacy Shield zu referenzieren, gehalten haben. So hat Group Privacy (GPR) also ein zentrales Projekt „Schrems II“, unter anderem zusammen mit BuyIn, der Deutschen Telekom Service Europe (DTSE), der Deutsche Telekom IT (DT IT), den operativen Datenschutz-Ansprechpartnern („Datenschutzbrückenköpfe“) sowie dem Chapter Privacy Implementation, ins Leben gerufen. Gemeinsam arbeiten wir die aus dem Urteil resultierenden Aufgaben ab. Bei den internationalen Tochtergesellschaften wurden hierfür eigene Projekte aufgesetzt. GPR ist eingebunden und monitort deren Fortschritt regelmäßig. Zudem prüfen wir gemeinsam mit unseren Vertragspartnern in den USA und anderen Drittländern, ob und welche weiteren Maßnahmen erforderlich sind.
Unser Projekt hat konkret einen Leitfaden für den Umgang mit Datentransfers in Drittländer entwickelt, der breit kommuniziert wurde. Darin berücksichtigt sind auch die derzeit im Entwurf vorliegenden Empfehlungen des Europäischen Datenschutz-Ausschusses zur Auslegung des EuGH-Urteils. Diese Empfehlungen sind sehr restriktiv und stellen den Konzern vor erhebliche Herausforderungen.
Benötigt Europa vor dem Hintergrund des EuGH-Urteils und der Restriktionen für die Verarbeitung in Drittländern, insbesondere den USA, eine europäische Lösung für Cloud-Dienste?
Claus Ulmer: Wir brauchen Lösungen für beides: für eigene Cloud-Dienste und für den internationalen Datentransfer. Unternehmen, die stark international vernetzt sind, wie zum Bespiel eine Siemens, brauchen mindestens Lösungen für die konzerninternen Datentransfers. Anders zum Beispiel im Cloud Business. Der Umsatz im Cloud Computing steigt stetig. Hauptanbieter von Cloud Services sind momentan mit großem Abstand amerikanische Anbieter wie beispielsweise Amazon, Google oder Microsoft. Hier haben viele europäische Kunden faktisch keine Ausweichmöglichkeiten. Sie befinden sich in einer Abhängigkeit. Auch mit Blick auf die strenge Auslegung des Schrems II Urteils durch die Aufsichtsbehörden brauchen wir zumindest als Alternative hier eine datensouveräne europäische Lösung.
Die „GAIA X“ Initiative könnte eine leistungs- und wettbewerbsfähige, vor allem aber vertrauenswürdige Dateninfrastruktur für Europa schaffen. Damit kann eine Abhängigkeit von Großunternehmen oder Staaten vermieden werden. Dahin ist es aber ein wortwörtlich langer Weg. Zudem müssen zuerst die Projektinternen Unstimmigkeiten bei GAIA-X gelöst werden, die wir zwischen einzelnen Beteiligten feststellen. Hier wird bereits um die Frage gestritten, ob es einen festen Standard, den französischen CISPE Standard, geben soll oder die Idee von offenen Standards zugrunde gelegt wird. Wir vertreten offene Standards, sofern diese von der europäischen Datenschutzkonferenz freigegeben werden. Dazu zählen dann auch deutsche Standards, wie der EU-Cloud Code of Conduct oder der Cloud Zertifizierungs-Standard „Auditor“. Beide sind aktuell im europäischen Freigabeverfahren. Auch wenn nicht-europäische Partnern sich an GAIA-X beteiligen können, ist entscheidend, dass die europäische Kultur und die europäischen Werte sichergestellt und unangetastet bleiben. Sonst würde sich am Status Quo, der von Anbietern außerhalb Europas dominiert wird, nicht viel ändern und der immense Aufwand würde sich nicht lohnen.
Im Auftrag des RKI haben SAP und Deutsche Telekom die Corona Warn App entwickelt. Bei der Frage der Wirksamkeit der App gibt es immer wieder um den Datenschutz und die Frage, ob der Datenschutz nicht zurückstehen muss. Wie ist ihre Haltung dazu?
Claus Ulmer: Gemeinsam mit SAP haben wir als Deutsche Telekom diese App als einen von vielen Bausteinen bei der Bekämpfung der Corona-Pandemie entwickelt. Entsprechend den Vorgaben der Bundesregierung erfolgt die Speicherung der Nutzer-ID dezentral. Also auf den Smartphones der Menschen, denen man begegnet. Auch werden keine Ortungsdaten gespeichert. Mittlerweile kommt die App auch länderübergreifend zum Einsatz; so lassen sich Infektionsketten auch international leichter unterbrechen. Das wichtigste in unserem heutigen Kontext ist aber, dass der Datenschutz in der App wirkt und wir bislang keine diesbezüglichen Fehlfunktionen festgestellt haben. Der dezentrale Ansatz hat sich als richtig herausgestellt und die angewandten Pseudonymisierungs-Methoden sind ausreichend.
Leider wird der Datenschutz als solcher in öffentlichen Diskussionen, Medien und Online-Plattformen wie Twitter oder Facebook immer wieder zum „Gegner“ des Rechts auf Gesundheit stilisiert. Das ist ein populistischer Vergleich und zielt am eigentlichen Thema vorbei. Es geht nicht um Datenschutz versus Gesundheit. Bei entsprechender gesetzlicher Regelungslage kann „der Datenschutz“ selbstverständlich reduziert oder gar ganz ausgehebelt werden. Das ist aber nicht zielführend, denn wie der Landesbeauftragte für den Datenschutz in Baden-Württemberg, Stefan Brink, richtig feststellt: „Datenschutz und Freiwilligkeit sind nicht die Nachteile der App, sondern die besten Argumente für ihre Nutzung.“
In Wirklichkeit geht es doch um die Akzeptanz der App in der Bevölkerung. Die App wird von den Menschen nur genutzt, wenn sie der Verarbeitung ihrer Daten vertrauen können. Das tuen im Moment sehr viele Menschen in Deutschland, bis Anfang Januar dieses Jahrs haben gut 25 Millionen Menschen die App in Gebrauch. Wenn jemand die App zum Tracking und Tracing Tool umgestalten möchte, dann tut er das mit dem Risiko, dass die Akzeptanz der App nachlässt und sie so weniger wirksam wird, also weniger Menschen die App downloaden oder nutzen würden. Die logische Folge wäre, dass der Staat die Bürger*innen zur Nutzung der App verpflichtet und das auch nachhalten müsste. Die Bürger*innen müssten z.B. auf der Straße kontrolliert werden, ob sie ihr Smartphone dabeihaben oder zumindest das Smartphone, auf dem die App ist. Ich vermute, dass die Befürworter solcher populistischen Forderung ihre eigene Idee nicht zu Ende gedacht haben. Wie wirkt sich zum Beispiel die Angst vor einem möglichen Missbrauch der App aus, wenn sie unsere Bewegungen und unsere sozialen Kontakte speichert und das auch vom Staat ausgewertet wird? Das sind nur zwei Einwände, die es zu bedenken gälte.
Wenn wir einen Ausblick wagen. Was werden die wichtigsten Datenschutzthemen der nächsten Jahre sein, denen wir uns stellen müssen?
Claus Ulmer: Wir digitalisieren unsere Welt kontinuierlich und in immer schnelleren Zyklen weiter. Damit wird auch der Datenschutz eine immer wichtigere Rolle einnehmen. Wir Datenschützer müssen immer auf der Höhe der Technologie bleiben, also stetig dazulernen, wie wir guten Datenschutz machen. Andererseits müssen die Entwickler und Innovatoren bei Ihren Lösungen immer schon den Datenschutz mitdenken. Guter Datenschutz ermöglicht das Kreieren und die Umsetzung neuer Ideen, weil er freies Denken schützt. Gleichzeit müssen sich die Nutzer*innen neuer Lösungen sicher fühlen können und dürfen. Das Vertrauen, dass mit den Daten kein Schindluder getrieben wird, muss weiter gestärkt werden. Und das ist keine kontinental-regionale Aufgabe. Wir werden auf der ganzen Welt darum ringen, ein einheitliches Verständnis von Datenschutz zu entwickeln. Einige Länder, unter anderem übrigens die USA, sind bereits auf dem Weg dahin. Letztendlich wird das europäische System sicher nicht das allein selig machende sein.
Aber das Vertrauen der Kunden*innen und Nutzer*innen wird sicher nochmal stärker im Mittelpunkt stehen als heute. Wir werden uns sehr viel mit der Innovationskraft der Künstlichen Intelligenz beschäftigen. Auch die Integration von virtueller Welt und realer Welt ist ein wichtiger Punkt. Augmented Reality kann in vielen Bereich zum Einsatz kommen, die alle persönliche Informationen zur Verarbeitung benötigen, um uns richtig unterstützen zu können.
Wir bleiben neugierig auf die Zukunft!
Corona
Informationen im Zusammenhang mit der Covid-19 Pandemie und zur Corona-Warn-App in den Jahren 2020 und 2021.