Datenspeicherung nur noch daheim? Kommt der Zwang zur Datenlokalisierung nach Europa?
von , veröffentlicht am 23.08.2022Lesenswerter Artikel dazu der IAPP heute – das Prinzip gibt es ja schon in einigen Staaten – interessanterweise in China und Russland. Hier ein Auszug:
„Der Europäische Datenschutzausschuss hat Leitlinien zur Gewährleistung der Einhaltung der DSGVO bei der Übermittlung von Daten in Länder, für die keine Angemessenheitsbeschlüsse vorliegen, veröffentlicht. Die Rechtsexporten waren der Ansicht, dass die europäischen Datenschutzbehörden in dieser Empfehlung zur Datenlokalisierung aufgerufen haben und damit mehr oder weniger implizit diejenigen unterstützen, die dies im Zusammenhang mit der digitalen Souveränität Europas befürworten. […] In der gemeinsamen Stellungnahme des Europäischen Datenschutzbeauftragten und des EDSA zum Legislativvorschlag für den EU-Gesundheitsdatenraum fordern die Behörden den Gesetzgeber jedoch dringend auf, Lokalisierungsanforderungen für Gesundheitsdaten einzuführen. Die Begründung lautet, dass, wenn sich die Verarbeitungsinfrastruktur außerhalb ihres Zuständigkeitsbereichs befindet, "die Kontrolle über die Einhaltung der EU-Datenschutzvorschriften möglicherweise nicht immer vollständig gewährleistet ist".
Daher scheinen die europäischen Datenschutzbehörden zunehmend Anforderungen an die Datenlokalisierung zu befürworten, die Hand in Hand mit der aktuellen politischen Agenda in Brüssel gehen, und zwar selbst für Länder mit einem angemessenen Datenschutzniveau.
Die Unterbringung europäischer Daten, einschließlich nicht-personenbezogener Daten, außerhalb [der eigenen] Gerichtsbarkeit spielt bei diesem Konzept eine entscheidende Rolle. So verpflichtet der Data Governance Act Datenmittler dazu, alle angemessenen Maßnahmen zu ergreifen, um die internationale Übermittlung oder den staatlichen Zugriff auf nicht-personenbezogene Daten in der EU zu verhindern, die einen Konflikt mit EU- oder nationalem Recht verursachen könnten. […]”
Was halten Sie von dieser Debatte zur Sicherung der europäischen Datensouveränität?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
11 Kommentare
Kommentare als Feed abonnierenÜberhaupt nichts. Überheblicher Aktivistenwahn – unrealistisch im Zeitalter des Cloud Computing. Ein Schuss ins eigene Knie. Der IAPP-Artikel stellt die Gegenargumente recht gut da. Schon bezeichnend, dass das Prinzip in Russland und China aus guten Gründen angewandt wird. Die EU ist auf einen flüssigen Datenaustausch angewiesen. Wozu braucht man noch Art. 46 ff. DSGVO, wenn die EU Daten (selbst nicht-personenbezogene) nicht teilen will? Wer zahlt für die tollen European champions?
Und der Kommentar des Kollegen von Digital Europe am Ende des Artikels trifft ins Schwarze: “Wenn Sie ein europäisches Unternehmen sind, das alle seine Daten in Europa speichert, aber in den USA tätig ist, unterliegen Sie immer noch den entsprechenden Datenanfragen der USA. Die einzige einseitige Möglichkeit, dies wirklich zu ändern, bestünde darin, europäische Unternehmen aufzufordern, ihre Präsenz in den USA aufzugeben, was sich selbst zum Nachteil gereichen würde.“
Nach dem, was wir dank Edward Snowden und Julian Assange über die sogenannten 5-Eyes-Staaten wissen, erscheint es klug, keine sensiblen Daten auf Clouds in diesen Staaten zu speichern.
Wenn die USA als Nato-Verbündeter Daten aus Deutschland oder EU-Europa brauchen, dann mögen sie die Überlassung der betreffenden Daten bei deutschen Behörden oder europäischen Sicherheitsdiensten beantragen, aber bitte nicht aus souveränen Staaten wie im Selbstbedienungsladen ohne zu Fragen aus eigenem Gutdünken einfach abgreifen.
Für die Jüngeren unter uns, die es vielleicht noch nicht wissen, sei diesbezüglich an Folgendes erinnert: Die USA haben still und heimlich und ohne Genehmigung eines deutschen oder EU-Gerichts oder einer deutschen oder EU-Behörde sogar das Dienst-Handy der damaligen Bundeskanzlerin Angela-Merkel abgehört und die Daten unerlaubt gespeichert und unerlaubt analysiert. Und nicht nur Handys von Politikern, sondern wohl auch von Journalisten und Wirtschaftsvertretern, und sogar von einfachen Bürgern, also Privatleuten.
Naja, was heißt unerlaubt? Der Umstand das von europäischer Seite keine Zustimmung erfolgte, bedeutet ja nicht das es nach amerkanischen Recht keine Grundlage gegeben hat.
Wie kommen Sie zu Ihrer Ansicht, Herr Paddington? Wurde das Staatsrecht und Völkerrecht heute unbemerkt revolutioniert?
Seit wann berechtigt die Gesetzgebung eines Staaten die Behörden dieses Staates zu Eingriffen in die Grundrechte von in ihrem Heimatland lebenden Bürgern anderer Staaten?
Zwar nehmen sich manche Staaten leider exterritoriale Wild-West-Praktiken und Freibeuter- oder Piraten-Praktiken bereits seit Jahren heraus, aber das ist wohl unstreitig keine Rechtfertigung für die Verletzung der Rechte der Bundesrepublik Deutschland oder ihrer in Deutschland lebenden Bürger.
In den Staaten kann das eine Frage der "nationalen Sicherheit" sein. Die Empörung auf europäischer Seite kann ich einerseits verstehen, halte sie aber in weiten Teilen für naiv.
Ach hören Sie mir doch auf mit Edward Snowden! Das ist jetzt 15 Jahre her. Und was glauben Sie, was die Geheimdienste von UK, F und D mit ihren Daten in Europa machen? Glaube Sie wirlich, ihre "sensiblen Daten in Europa sind vor denen sicher? Und was ist, wenn ihre "sensiblen" Daten in Europa abgespeichert werden, aber von den USA aus zugegriffen werden kann.
Hilfe, Angela Merkels Telefon ist vor 8 Jahren "vermutlich" vom NSA abgehört worden. Und deswegen soll jetzt der internationale Datenverkehr in die USA lahmgelegt werden? Wenn der hiesige Geheimdienst das Handy der Kanzlerin nicht vor solchen Attacken schützen kann, gehört er in den Sandkasten mit anderen Amateure. Dann vertraue ich meine Daten lieber Profis an und wenn die in Silicon Valley sitzen, umso besser.
Die Attacken auf unsere Daten kommen heute aus dem Kreml und Geheimdienstler Putin schert sich nicht um das here Prinizp der europäischen Datensouveränität.
Hallo Paddington (Paddington befindet sich anscheinend wohl in London?).
Haben Sie Beweise für Ihre Behauptung, daß Deutschland (und der Bundeskanzler) von Spionage aus den USA inzwischen nicht mehr betroffen sein soll, sondern daß Deutschland (und der Bundeskanzler) stattdessen nun von Spionage aus Russland betroffen werden?
Die Spionage durch die USA ist wohl zweifelsfrei und offenkundig bewiesen worden, eine Spionage durch Russland (oder auch durch das Vereinigte Königreich, Israel, die Türkei, oder China) wird dagegen bisher wohl lediglich behauptet.
Wie dem auch sei, in denjenigen unserer Industrieunterehmen, die Patente oder Gebrauchsmuster anmelden wollen, ist man wohl überwiegend skeptisch, und ernsthaft um Datensicherheit besorgt, und um Vorsicht bemüht.
Das sollte man auch. Ich nehme nicht an, dass es sich aktuell bei Herrn Scholz, Herrn Habeck und den weiteren wesentlich anders verhalten wird, als seinerzeit bei Frau Merkel. In einer globalisierten, vernetzten Welt halte ich es für weitestgehend naiv anzunehmen, dass von Geheimdiensten bestimmte Personen (z.B. des öffentlichen Lebens) nicht ausgeforscht werden. Man wird sich jetzt mehr Mühe geben das diskreter zu Hand haben und vllt. auch andere Methoden wählen. Letztlich ist das eine Frage der außenpolitische Strategie.
Vielen Dank für diesen BlogBeitrag. Gerne möchte ich folgende Überlegung einbringen:
In einem Informationspapier der Europäischen Kommission von 2015 mit dem Titel „Handel für alle - Hin zu einer verantwortungsbewussteren Handels- und Investitionspolitik“ heißt es (noch): „Das Ziel der EU sollte die Schaffung weltweit gleicher Wettbewerbsbedingungen ohne Diskriminierung sowie die Beseitigung ungerechtfertigter Datenlokalisierungsvorschriften sein. Europa sollte dieses Ziel in bilateralen, plurilateralen und multilateralen Foren verfolgen.“
Dieses Ziel scheint Brüssel unter anderem mit der gemeinsamen Stellungnahme von EDPB-EDPS 03/2022 und der Regelungen in Art. 31 des Data Governance Act aufgegeben zu haben!
In der BT-Dr. 19/30882 vom 21.6.2021 beantragen mehrere MdBs einen „Neustart der internationalen Handelspolitik“ und fordern die Bundesregierung unter II. 2 a) iv) auf, "sich für einen multilateralen Welthandel und damit eine echte globale Partnerschaft einsetzt, die im Rahmen der Joint Statement Initiative Verhandlungen auf WTO -Ebene über ein Abkommen zum E-Commerce sicherzustellen, dass die Regelungen im Abkommen die Regulierungshoheit der EU, insbesondere in den Bereichen Datenschutz, Verbraucherschutz und Wettbewerbspolitik, nicht gefährden und einschränkende Bestimmungen zur Datenlokalisierung weit gefasste Ausnahmen für legitime Entwicklungsziele beinhalten und Gegenstand einer Revisionsklausel sind;“
Die Europäische Union ist (Gründungs-)Mitglied der Joint Initiative on E-Commerce.
Am 26.4.2019 hat die Europäische Union in dieser WTO Joint Initiative einen Vorschlag (INF/ECOM/22 (19-2880)) eingebracht, der u.a. folgendes beinhaltete:
2.7 Cross-Border Data Flows
1. Members are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted by:
(a) requiring the use of computing facilities or network elements in the Member's territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of the Member;
(b) requiring the localization of data in the Member's territory for storage or processing;
(c) prohibiting storage or processing in the territory of other Members;
(d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Member's territory or upon localization requirements in the Member's territory.
Weder im der Joint Opinion von EDPS/EDPB 03/2022 noch im DGA findet sich eine explizite Abkehr von diesen Stellungnahmen und Erklärungen. Gelten sie einfach nicht mehr? Reicht ein EU-BINNEN-Markt für den digitalen Handel? Macht es Sinn in WTO- und Privacy-Silos zu denken und die notwendige Verknüpfung außen vor zu lassen? Ist Datenschutz und Privatheit von Daten nur mit digitalen Protektionismus sicherzustellen? Schade wäre´s!
Lieber Gast: Frau Schmitz hat Ihnen gerade in ihrem Blog-Beitrag noch einmal harte Fakten dargelegt, warum diese ganze vor allem von Frankreich propagierte Debatte um Datensouveränität in der EU heuchlerisch ist.
Das politische Ziel ist doch klar: Frankreich u.a. wollen den europäischen Champion für Clouddienste und alle EU Mitglieder sollen die Zeche zahlen. Darum geht es doch!
Ihr hochgelobter Snowden sitzt seit 2013 mit Familie bequem in Moskau und hat mittlerweile von Putins Gnaden eine Aufenhaltserlaubnis. Glauben Sie wirklich, dass es Zufall ist, dass er in Moskau sitzt und sich dorthin abgesetzt hat? Für wen arbeitet er wohl?
Sie sollten mehr Angst vor China oder dem FSB in Moskau haben, dass Sie ausspioniert werden als vor dem NSA. Selbst wenn man Ihnen folgt: Der NSA freut sich wahrscheinlich noch über ihre Entscheidung, die Daten in der EU in der Cloud abzuspeichern, weil die US Behörden bei der Auslandsspionage im Ausland weitergehende Befugnisse haben als im Inland.
Dieses Luftschloss der Datensouveränität wird uns in der EU teuer zustehen kommen. Andere werden folgen.
Und wenn es den Begriff außer als Professorenkonstrukt überhaupt gibt, dann steht die Datensouveränität dem Betroffenen zu, nicht der EU und auch nicht der deutschen Bundesregierung. Deswegen gibt es auch Art. 49 Abs. 1 lit a DSGVO: Das Indivduum kann jederzeit in den internationen Datentransfer einwilligen, auch wenn das Schutzniveau bei Empfänger vielleicht anders ist als in der EU.