Kein “privacy shield”, kein Problem?
Das “privacy shield” ist gekippt. Gut so? Vielleicht. Aber die Entscheidung geht an der Internet-Realität vorbei.
Die USA sind keine privilegierte Adresse für Datenverarbeitung mehr. Aktuell herrscht große Freude über “Schrems II”, das Urteil des Europäischen Gerichtshofs, mit dem die Richter das “privacy shield” für unrechtmäßig erklären. Diese Vereinbarung war im Prinzip nichts anderes als die Bestätigung der EU-Kommission, dass persönliche Daten in den USA genauso geschützt seien wie in der EU. Firmen unter dem “privacy shield” konnten daher ohne Einschränkungen personenbezogene Daten auf Servern in der EU oder den USA lagern und verarbeiten.
(Für mehr Sachinfos: die Pressemitteilung des EuGH, der Bericht auf Netzpolitik und die FAQs von noyb.eu, der Datenschutz-Initiative von Max Schrems.)
Das geht jetzt rechtlich nicht mehr, weil der EuGH sagt (knapp zusammengefasst): Die gesetzlichen Möglichkeiten zur staatlichen Überwachung in den USA sind mit europäischem Schutz personenbezogener Daten nicht vereinbar, und EU-Ombudspersonen können nichts gegen US-Behörden tun, also funktioniert das “privacy shield” nicht wie gedacht.
Das ist erstmal schön grundrechtsstärkend. Aber die ganze Argumentation ist bei Lichte betrachtet ein bisschen absurd. Denn die Diskussion hängt im Grunde daran, wo physikalische Computer stehen, die mit einem weltweiten, grenzenlosen Netz verbunden sind. Im Internet ist aber irrelevant, wo ein Gerät steht, weil alle Daten von überall zugänglich sind. (Es gibt wie immer Ausnahmen — da komme ich weiter unten zu.)
Das Internet kennt keine Grenzen
Ein Beispiel: Wenn ich meine Kreditkartendaten auf einer Webseite eingebe, werden die zur Zahlungsabwicklung gespeichert. Damit sind sie verfügbar. Ob die Festplatte mit meinen Kreditkartendaten in Norwegen, Kalifornien oder Japan steht, macht für russische Kreditkartendaten-Hacker keinen Unterschied. Entscheidend ist, wie diese Daten gesichert sind.
Und was heißt überhaupt “Datenübertragung in die USA”? Selbst wenn Facebook jetzt alle europäischen Nutzer:innen auf Server in Irland und Schweden auslagert und sogar eine “EU-Instanz” aufsetzt, die Kontakt zu “US-Daten” nur noch per verschlüsselter Technik erlaubt, ändert das nichts daran, dass diese Server immer noch Teil eines weltweiten Informationsnetzes sind. Ein Data Analyst in Seattle kann seine Arbeit auch mit Daten auf europäischen Servern machen.
Die grenzüberschreitende Kommunikation und Datenverarbeitung ist Sinn und Zweck des Internets. Für digitalen Datenaustausch spielen geografische Grenzen keine Rolle.
Wenn eine Kundenbetreuer:in aus Singapur den Account einer Nutzer:in aus Wien aufruft, die bei einer Frankfurter Bankfiliale Kunde ist, die wiederum ihr Kundenmanagement auf einem Server in New York liegen hat, dann ist das tägliche Realität. Gar nicht zu reden von den automatisierten Prozessen beim Anzeigenverkauf, an der Börse, im Finanzwesen, beim Frachtverkehr und so weiter, die sich sowieso den schnellsten Weg durch’s Netz suchen, egal wo lang.
In Facebooks Datenschutzrichtlinie steht: “Datenübermittlungen sind erforderlich, […] um global tätig zu sein.” Bei aller Kritik daran, was Facebook alles befördert und zulässt und was nicht: Damit haben sie ausnahmsweise Recht. Jede:r kann theoretisch von überall auf alles zugreifen — Geheimdienste übrigens auch.
Globale Verschlüsselung statt regionale Vorschriften
Wenn das Problem an Datenströmen die staatliche Überwachung ist, dann ist die Lösung nicht, Datentransfer auf der Basis von digital nicht existierenden Grenzen zu verbieten. Die Lösung ist, sie technisch so zu verschlüsseln, dass niemand darauf zugreifen kann außer den Nutzer:innen.
Firmenstandorte machen erst einen Unterschied, wenn sich globale Firmen an regionale Gesetze halten. In einem anderen Bereich tun sie es jetzt schon nicht: beim Steuern zahlen. Es gibt schließlich schon “Steueroasen”. Warum nicht auch “Verschlüsselungsoasen” schaffen? Länder, deren Gesetzgebung explizit Verschlüsselung von Datenaustausch einfordert und von wo aus eine Plattform das weltweit betreiben kann.
Physikalische Serverstandorte machen außerdem einen Unterschied, wenn es um staatliche Kontrolle über Leitungen und Zugriffsmöglichkeiten geht. Internetsperren wie in China, Venezuela, Zimbabwe oder Äthiopien zeigen, dass der Netzzugang nicht weltweit frei ist.
Wenn eine Staatsanwaltschaft allerdings Server beschlagnahmt, ist die Wahrscheinlichkeit übrigens hoch, dass es ein Backup anderswo gibt, allein schon als Vorsorge gegen technische Ausfälle.
Facebook bleibt problematisch
Jedenfalls geht eine Diskussion über das weltweite Internet, die sich auf die physikalischen Standorte von Computern beruft, an der globalen Vernetzung einfach vorbei.
Und zuletzt sei dazu noch gesagt: Auch ohne “privacy shield” ist Facebook als Plattform problematisch, selbst wenn es komplett in Brandenburg gehostet würde. Social-Media-Plattformen verstoßen prinzipiell gegen das Prinzip, nur die Daten zu speichern, die sie wirklich brauchen (Datensparsamkeit), und gegen das Prinzip, dass Nutzer:innen die Kontrolle darüber haben sollten, wo und wie ihre Daten genutzt werden (Datensouveränität).
Datensparsamkeit mag ja für deutsche Behörden funktionieren, aber Social-Media-Plattformen brauchen wirklich so viele Informationen wie möglich, damit sie ihr Geschäftsmodell umsetzen können: möglichst passende Werbung ausliefern.
Denn das ist nach wie vor ihr Geschäftsmodell. Und anders als Zeitungen verdienen sie damit Millionen Euro, Dollar oder Yuan. Wer Facebook an den Kragen will, muss beim Geschäftsmodell anfangen.
Rückmeldungen? Andere Ideen? Themenvorschläge? Immer her damit, hier oder auf Mastodon!
