Verhandlungssaal des Europäischen Gerichtshofs in Luxemburg. 
Foto: Imago Images/Patrick Scheiber

BerlinIm Juli dieses Jahres hat der Europäische Gerichtshof (EuGH) das so genannte EU-US-Privacy-Shield-Abkommen für ungültig erklärt. Dieses Abkommen war eine rechtliche Grundlage, personenbezogene Daten durch US-Dienstleister verarbeiten zu lassen. Wenn Sie jetzt verwundert fragen, was Sie das angeht, werte Leserinnen und werte Leser, dann kann ich Ihnen nur zurufen: sehr viel! Denn erstens müssen europäische Gesetze beachtet werden. Und zweitens kann Europa ohne US-amerikanische Produkte keine Software entwickeln und betreiben, wie Sie gleich lesen werden. Der EuGH-Entscheid, konsequent zu Ende geführt, gefährdet unseren Wohlstand mehr als es ein Niedergang des deutschen Bankensystems und der deutschen Automobilwirtschaft zusammen täten.

Die Europäischen Datenschutzaufsichten werfen den USA vor, gegen die Persönlichkeitsrechte europäischer Bürger zu verstoßen. Schuld sei die US-amerikanische Gesetzgebung, konkret Cloud Act (US Clarifying Lawful Overseas Use of Data Act) und FISA (Foreign Intelligence Surveillance Act). Im Ergebnis können US-Geheimdienste US-amerikanische Firmen, dazu zählen auch deren Standorte in Europa, anweisen, Daten ihrer europäischen Kunden herauszugeben. Das EuGH moniert, dass der europäische Bürger davon erstens nichts erfahre und zweitens keine Rechtsmittel dagegen habe. Das sei in Europa anders. Hier könne ein Bürger gegen die Ausspionierung durch europäische Geheimdienste juristisch vorgehen. Inwieweit das in der Praxis zutrifft, schauen wir uns in einem späteren Beitrag gemeinsam an. Zurück zum EuGH-Entscheid: Dieser betrifft die beliebtesten Videokonferenzsysteme, Office-Anwendungen, alle Dienstleistungen aus US-Clouds.

Es kommt aber noch dicker. Als „Lösung“ wird einfach eine Europäische IT-Souveränität gefordert. Womit gemeint ist, dass ein Standort in Europa erforderlich ist (mit Bezug auf den Cloud Act müsste man allerdings konkretisieren, dass es sich auch um europäische Anbieter handeln muss) und dass es eine Open-Source-Software statt Software der einschlägigen Giganten braucht. Dazu zwei Fragen. Erstens: Mit welchen Werkzeugen wird Open-Source-Software in Europa produziert und in welchen Umgebungen zum Laufen gebracht? Es geht um die sogenannte CI/CD-Pipeline: Continuous Integration, Continuous Delivery und Continuous Deployment mit all den Produktionsschritten dazwischen.

Zweitens: Auf welcher Hardware läuft diese Open Source Software? Bevor Sie jetzt lange Recherchen auf sich nehmen, nehme ich Ihnen diese Arbeit ob der einfachen Antwort gerne ab: Hardware kommt aus China, Südkorea, den USA und Israel. Werkzeuge zur Entwicklung und zum Betrieb von Software kommen aus den USA. Diese Anbieter könnten somit in ihren Software-Werkzeugen und Bauteilen wie Prozessoren, Speicher etc. Hintertüren einbauen. Das EuGH-Urteil und die meiner Auffassung nach unausgegorenen Forderungen der Datenschutzaufsichten zu Ende umzusetzen, bedeutet somit nicht, dass das Privacy-Shield-Abkommen ungültig ist, sondern dass die Europäische Wirtschaft nicht rechtsgültig ist! Denn sie muss sofort mangels europäischer Alternativen aus Datenschutzgründen heruntergefahren werden. Seit dem 16. Juli. Punkt.

Der Autor ist Datenschutzbeauftragter des Berliner Verlags und Expert Director der Core SE, an der der Verleger der Berliner Zeitung eine Beteiligung hält.