Für einen Paukenschlag sorgte der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 mit seinem Urteil, die seit dem Jahr 2000 geltende Safe Harbor-Regelung für ungültig zu erklären. Die Regelung sah bisher vor, dass bei US-Unternehmen, die sich in einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen, von einem ausreichenden Datenschutzniveau auszugehen sei. Damit könne auch die rechtmäßige Übermittlung personenbezogener Daten an solche US-Unternehmen erfolgen. Bis heute haben sich etwa 5.500 US-Firmen – darunter natürlich auch viele „IT-Größen“ wie IBM, Microsoft, Amazon.com, Google, HP, Dropbox oder Facebook – in diese Liste eintragen lassen.
Der Düsseldorfer Kreis hatte bereits im April 2010 deutlich gemacht, dass sich deutsche Unternehmen, die Daten in die USA exportieren, nicht auf die Behauptung einer Safe Harbor-Zertifizierung von amerikanischen Unternehmen verlassen dürfen und forderte schon damals konkrete Mindeststandards, die gegebenenfalls auf Nachfrage auch nachgewiesen werden müssten. Die Regelungen des als Folge der Terroranschläge vom 11. September eingeführten Patriot Act verschärften die Kritik an den Safe Harbor-Regelungen weiter. Im Rahmen des Patriot Act wird US-Sicherheitsbehörden unter Umständen Zugriff auf die in amerikanischen Rechenzentren gespeicherten Daten gewährt, ohne dass der Dateninhaber davon in Kenntnis gesetzt wird. Eine Untersuchung des Unabhängigen Landeszentrums für Datenschutz kam dabei zu dem wenig schmeichelhaften Schluss, Safe Harbor sei „das Papier nicht wert, auf dem es geschrieben steht“. Die Enthüllungen von Edward Snowden führten dann dazu, dass die deutschen Datenschutzbeauftragten im Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufforderten, Safe Harbor zu überprüfen und darüber hinaus bekannt gaben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe Harbor Abkommen zulassen. Aus diesem Blickwinkel ist das EuGH-Urteil eigentlich eine logische Konsequenz.
Fast könnte man meinen, die amerikanischen Cloud Computing-Anbieter hätten etwas geahnt, denn einer nach dem anderen kündigte in jüngster Vergangenheit an, nun auch in Deutschland ein Rechenzentrum zu eröffnen. „The Amazon cloud has arrived in Germany!“ erklärte beispielsweise der Amazon Web Services-Deutschland-Chef Martin Geier auf einer Veranstaltung im letzten Herbst in Frankfurt und reihte sich damit ein in die Reihe anderer namhafter US-Cloud Service Provider wie Oracle oder Salesforce.com, die ebenfalls den Betrieb von Rechenzentren in Deutschland bekannt gaben. Was auf den ersten Blick als Lösung für das Safe Harbor Dilemma erscheint – die Daten werden dann ja nicht mehr nach USA exportiert, sondern bleiben datenschutzrechtlich konform in Deutschland, erweist sich auf den zweiten Blick ebenfalls als „Mogelpackung“. Denn wie der aktuelle Rechtsstreit zwischen Microsoft und der US-Justiz zeigt, fordern die amerikanischen Behörden bei ihren Ermittlungen nicht nur Zugriff auf Nutzerdaten in den USA, sondern auch auf Nutzerdaten, die in Rechenzentren amerikanischer Unternehmen außerhalb der USA gespeichert sind.
Nachdem der erste Schock verdaut ist, werden sich sicher beide Seiten – diesseits und jenseits des Atlantiks – darüber Gedanken machen, einen Mittelweg zu finden, um auch zukünftig ein globales Cloud Business zu ermöglichen. Die Frage bleibt allerdings, wie weit sich die amerikanische Seite zu Datenschutzregelungen verpflichten lässt, die dem europäischen und gerade auch dem deutschen Datenschutzverständnis entsprechen oder zumindest nahe kommen.