🔒 Schremsll, US Cloud Act - Wie geht es weiter?

Einen schönen guten Tag. Mein Name ist Frank Giessen. Ich arbeite seit April 2020 für Cloudflare in Deutschland und freue mich, Sie heute bei Cloudflare TV begrüßen zu dürfen. Ich spreche heute mit Dr. Marc Maisch, Rechtsanwalt in der Kanzlei Maisch Mangold Schwarz in München. Marc, vielen Dank, dass du heute Zeit für uns hast. Hallo und danke. Ja, Dr. Marc Maisch ist als Rechtsanwalt in München auf das IT -Recht Datenschutz, Abwehr von Cybercrime, Identitätsliebschaft spezialisiert. Gemeinsam mit Polizei, IT-Forensikern, Detektiven, Spürt er nach Tätern, unterstützt Opfer bei der Aufklärung und Prävention von Internetkriminalität. Als Social-Media-Anwalt und leidenschaftlicher Speaker hat er sich bundesweit und in den sozialen Netzwerken einen Namen gemacht. Er erhält viele Vorträge im Bereich Cybersicherheit für IT-Dienstleister, Unternehmer, Startups. Wer mehr über Marc erfahren möchte, findet hierzu etwas unter www.socialmediaanwalt.com. Marc, wie geht es dir? Wie erlebst und durchlebst du diese ungewöhnliche Zeit, in der wir uns gerade befinden? Du, also ich weiß nicht, ob im Moment Corona mehr Sorgen macht oder das anstehende Weihnachtsfest, weil ich irgendwie, in München haben wir ja jetzt hier auch den harten Lockdown, dass man nur mit triftigem Grund das Haus verlassen kann und das Büro. Deswegen habe ich schon zu meiner Freundin gesagt, pass auf, das wird nichts mit Weihnachten dieses Jahr, und versuche mich jetzt aus der Weihnachtsgeschenke-Strategie da irgendwie, mich da irgendwie abzuseilen. Aber ob das klappt, wahrscheinlich wird es wieder große Weihnachtsstress dann kurz vorher werden. Genau. Ja, Marc, wir haben uns heute ein, wie ich finde, sehr interessantes aktuelles Thema ausgedacht. Schrems 2, US-Cloud-Act, wie geht es weiter? Und da würde ich uns gerne eine kleine Einführung einfach mit dir machen. Also, das Schrems 2-Urteil ist ja am 16.7. durch den Europäischen Gerichtshof verkündet worden. Und es hat einiges in der Datenwelt zwischen Amerika und Europa aus dem Gleichgewicht gebracht. Meine Frage ist schon mal, aber ist es nicht eigentlich genau dieses Gleichgewicht, was wir in unserer existierenden globalen Welt, vernetzten Welt benötigen? Und für die Gegenwart und für die Zukunft, die sich ja mehr als je zuvor digital gestalten wird, gut aufgestellt zu sein. Also von daher würde ich gerne mit dir als absoluten Experten darüber sprechen wollen, was hat es eigentlich genau auf sich mit diesem sogenannten Schrems-2 -Urteil? Worum geht es dabei eigentlich genau? Ich finde das schon so ungewöhnlich, dass selbst in den öffentlichen rechtlichen Medien das Urteil mit Schrems 2 betitelt wird. So etwas habe ich ja noch nie. Kann man ja sonst nicht wahrnehmen oder selten wahrnehmen. Wie kam es überhaupt zu diesem Urteil des Europäischen Gerichtshofes? Und wenn es ein Schrems-2-Urteil gibt, wie sah Schrems 1 aus und ist Schrems 3 schon in Arbeit? Vielleicht kannst du uns da einfach mal einen Überblick geben. Ja Frank, also das waren jetzt sehr viele Fragen auf einmal. Ich versuche das mal von vorne aufzurollen, das Thema. Also Schrems 2 heißt das Urteil deswegen, weil es auf den österreichischen Juristen und Datenschutzaktivisten Max Schrems zurückgeht. Es hat alles so angefangen, Facebook gibt es ja seit 2008 ungefähr, dass Max Schrems seit 2008 Facebook -Mitglied ist und dann einfach spaßeshalber mal herausfinden wollte, was speichert Facebook eigentlich an personenbezogenen Daten über ihn. Früher war es nicht so einfach, aber dann irgendwann hat sich Facebook auch bewegt und hat da eine Download-Funktion eingebaut, wo wenn du drauf klickst, du dann irgendwie ellenlange Berichte darüber bekommst, welche Daten Facebook über dich verarbeitet. Also welche Freunde man hat und was man mit denen so kommuniziert hin und her. Und dabei hat Max Schrems festgestellt, dass nicht nur diese Daten von der Facebook Ireland Limited, die für Europa zuständig ist, verarbeitet werden, sondern dass diese Daten auch immer an die Muttergesellschaft in die USA übermittelt werden. Und das hat ihm nicht gepasst. Er hat dagegen dann Beschwerde eingelegt bei der irischen Datenschutzaufsichtsbehörde, die dafür zuständig ist. Die hat dann ewig lang nichts gemacht. Dann hat er vor den irischen Gerichten geklagt und das Ganze ging hoch bis zum EuGH. Und das Problem an der ganzen Geschichte ist ja hier, dass die personenbezogenen Daten in den USA nach europäischer Sicht nicht so gut geschützt werden, wie bei uns hier. An dieser Stelle erinnern wir uns zum Beispiel an Edward Snowden, der bekannte Whistleblower, der aufgedeckt hat, dass die US-Geheimdienste Prism verwenden und viele andere Tools, um auf Knopfdruck alles mögliche über Menschen abrufen zu können. Und dann ging das Ganze zum EuGH, also quasi höchstes europäisches Gericht, was dann darüber zu entscheiden hatte, ob diese Datenübermittlung von Facebook Ireland zur Muttergesellschaft in die USA, ob das nun europäischem Recht entspricht oder nicht. Und da ist es so, dass das europäische Recht, also die Datenschutzgrundverordnung, also davor schon das irische Datenschutzrecht, nur dann einen Datentransfer ins Ausland erlaubt, wenn es einen sogenannten Angemessenheitsbeschluss gibt. Das erklärt auch, also es gab ja, du hast ja vorhin gefragt, da gibt es ja Schrems 2 ist das aktuelle Urteil, aber angefangen hat es ja eigentlich eben mit dem, was ich gerade erzähle, mit dem Schrems 1 Urteil. Da war nämlich die Rechtslage so, dass wenn man Daten in die USA übermittelt hat, gab es das sogenannte Safe Harbor Abkommen zwischen der EU -Kommission und der US-Regierung. Dieses Safe Harbor Abkommen, also der sichere Hafen, das war quasi so gedacht, dass die Europäer nicht sagen, dass es in den USA insgesamt ein angemessenes Datenschutzniveau gibt, sondern dass, wenn sich einzelne Unternehmen unter dem Safe Harbor Abkommen entsprechend selbst zertifizieren, dass diese einzelnen Unternehmen in den USA dann als sicherer Hafen für europäische Daten gelten sollen. Okay. Und diese Selbstzertifizierungen konnten die Unternehmen dann entsprechend machen. Facebook war da auch zertifiziert und der EuGH musste dann entscheiden, entspricht denn dieses Safe Harbor Abkommen dem europäischen Recht und hat dann gesagt, nein, das ist nicht so und hat es dann gekippt. Ist diese Zertifizierung in Amerika passiert oder in Europa? Wo musste man? Diese Zertifizierung nach dem Safe Harbor Abkommen, die funktioniert in den USA. Okay. Da haben sich Unternehmen selbst zertifiziert. Also das ist ja, aus gutem Grund gibt es ja bei uns den TÜV, der, wenn du dein Auto in die Werkstatt fährst, dann überprüft, ob das mit den Abgasnormen und so noch funktioniert, weil das deutsche Recht oder der deutsche Gesetzgeber sagt, das musst du als Fahrzeughalter machen und glaubt dir nicht, dass du selber dein Auto zertifizieren kannst und dass du sagst, ja, das mit dem Abgas, das passt schon so. Und so ähnlich war es eben auch beim EuGH. Der hat gesagt, dieses Selbstzertifizieren im Rahmen von dem Abkommen, das reicht nicht aus, das entspricht nicht europäischem Recht und hat dann dieses Safe Harbor Abkommen gekippt. Dann haben die Amerikaner und die Europäer wieder verhandelt und es kam zum Nachfolgeabkommen, dem Privacy Shield Abkommen. Und das ist eben das, was Schrems dann wieder über diesen Weg, über die irische Aufsichtsbehörde bis hin zum EuGH nun verfolgt hat und angegriffen hat. Und der EuGH nun auch dieses Nachfolgeabkommen gekippt hat. Okay. Und das ist dann das Schrems-II-Urteil, sozusagen? Das ist jetzt das Schrems-II -Urteil. War da auch eine Zertifizierung oder wo war der Unterschied zu dem anderen? Relativ ähnlich im Grunde genommen, ja. Also, weil das ist ja nun mal der Kompromiss. Die Amerikaner haben ein anderes Rechtsverständnis, was Datenschutzrecht betrifft und die Europäer haben da auch nochmal ein ganz anderes Rechtsverständnis. Und das unter einen Hut zu bringen, ist nicht leicht. Und diese Selbstzertifizierung, das war dann schon so, dass die amerikanischen Unternehmen, die sich da selbst zertifiziert haben, dann sich selbst quasi Pflichten unterworfen haben, was sie tun würden, damit sie dem europäischen Datenschutzrecht entgegenkommen. Also müssen quasi amerikanische Unternehmen damit EU-Recht umsetzen. Also Auskunftsrechte gewährleisten oder Löschungsrechte oder entsprechende Datenschutzerklärungen machen, all sowas. Okay, gut. Also das heißt, ich habe verstanden, Schrems-I, Schrems-II und wo die Knackpunkte sind. Jetzt ist ja am 16 .7. schon einige Zeit vergangen. Und welche Auswirkungen hat es denn jetzt in der Realität? Welche haben sich da eigentlich bis heute eingestellt? Also, denn das war ja, nach meinem Kenntnisstand, war das sofort gültig. Also es gab auch gar keine, so wie man das oft kennt, so eine Art Übergangsfrist, sondern es galt dann quasi ab dem 16.7. Das muss ja zu irgendwelchen Auswirkungen geführt haben, auch regionalen Umsetzungen vielleicht. Ja, wir haben unsere Landesdatenschützer hier drauf reagiert. Was hast du da mitbekommen? Und wie gehen die, das muss ja auch Betroffene geben, ja, Lieferanten, wie Kunden, wie sind die bisher mit dieser Thematik umgegangen? Ja, also das hat natürlich zu einem riesigen Chaos geführt und zu einem Aufschrei in den Datenschutz- und Compliance -Abteilungen der jeweiligen großen Unternehmen, weil du musst dir vorstellen, vielleicht erkläre ich das nochmal, nochmal Basiswissen Datenschutz ist ja, wenn du als europäisches Unternehmen einen US-Dienstleister einbindest, zum Beispiel einen großen Suchmaschinenhersteller oder Betreiber, der eine E-Mail-Lösung oder so eine Business-Suite-Lösung oder sowas anbietet und du bindest den ein, dann musst du, da gibt es zwei Ebenen, die man beachten muss. Einerseits muss es eine Erlaubnis geben, dass man diesen Drittdienstleister einbindet, einen Auftragsverarbeitungsvertrag zum Beispiel, English Data Processing Agreement und auf der zweiten Stufe, dadurch, dass die Datenübermittlung ins Ausland geht, also auch wenn du schon quasi einen E-Mail -Anbieter aus dem Ausland verwendest und da E-Mails schreibst, dann übermittelst du damit personenbezogene Daten, nämlich E -Mail-Adressen und IP-Adressen in einen Drittstaat in die USA und für diese Drittstaaten-Übermittlung, da, da bewegen wir uns auf der Sphäre, die jetzt hier mit diesen Schrems-Urteilen immer wieder für Probleme gesorgt hat und die Datenschutz -Grundverordnung, die sagt, wenn du als Unternehmen Daten in einen Drittstaat transferieren möchtest, dann brauchst du bestimmte Garantien. Früher, also quasi bis vor 16. Juli, war eine dieser Garantien dieses Privacy-Shield-Abkommen mit der Selbstzertifizierung, was wir gerade besprochen haben oder Standard -Vertragsklauseln oder Binding Corporate Rules, das sind quasi Agreements zwischen großen Konzernen, die von einer Aufsichtsbehörde genehmigt werden müssen, die spielen praktisch fast keine Rolle, oder eine explizite Einbietung des Nutzers oder dass diese Auslandsübermittlung für die Erfüllung eines Vertrags erforderlich ist. Also das sind so die Möglichkeiten, die man hat und dadurch, dass das Privacy -Shield-Abkommen weggefallen ist, was quasi in allen Verträgen überall immer drin stand, müssen jetzt oder mussten seither alle Vertragsbeziehungen überprüft werden. Manche Unternehmen, also wenn ein Unternehmen in Deutschland sitzt und Daten in die USA übermittelt und dann steht im Auftragsverarbeitungsvertrag immer noch drin, dass die Garantie Privacy-Shield ist, was jetzt gekippt ist, dann wäre diese Datenübermittlung rechtswidrig und das deutsche Unternehmen haftet dafür. Da muss man sich anpassen, genau. Da müssen sich natürlich alle drum kümmern, müssen sich anpassen und ich habe für meine Mandanten hier zahllose amerikanische Unternehmen angeschrieben und gesagt, pass auf, wie stellt ihr euch das jetzt vor? Jetzt gibt es das Privacy-Shield nicht mehr. Ja. Habt ihr Standardvertragsklauseln, sogenannte Model Clauses auch, SCC und wenn, also diese Verträge müssen halt jetzt abgeschlossen werden. Jetzt sagt der EuGH in dem Schrems 2-Urteil, Standardvertragsklauseln bleiben weiterhin gültig. Also die kann man verwenden, aber er sagt auch, in den USA ist es nochmal anders, denn da ist die Rechtslage so, dass man nicht sicher sein kann, dass wenn du als betroffene Person aus Deutschland, also Nutzer oder so, wenn du dann deine Rechte in den USA gelten machen willst, Recht auf Auskunft, Recht auf Löschung, dass das dann gewährleistet wird. Deswegen sagt der EuGH, müssen deutsche Unternehmen zusätzlich eine Rechtsprüfung machen und in dieser Rechtsprüfung müssen sie bestimmte Fragen stellen, ob zum Beispiel das Unternehmen in den USA, also ob das ein Telekommunikationsdienstanbieter ist und ob das hier dem Pfizer-Gesetz unterfällt und bestimmte Fragen stellen. Es gibt Fragenlisten, die man über, da gibt es aufsichtsbehördliche Hinweise dazu, welche Fragen man da stellen muss und diese Rechtsprüfung muss man machen. In den meisten Fällen führt es aber dazu, dass dann die Antwort kommt, ja, es ist schwierig zu sagen, ja, wir unterfallen diesen amerikanischen Sicherheitsgesetzen so, dass man eigentlich dazu kommt, dass diese Rechtsprüfung dazu führt, dass man sagen muss, man kann den US-Dienstleister nicht einbinden. Ja. Da gibt es aber noch eine andere Möglichkeit, die der EuGH offengelassen hat, dass er sagt, wenn entsprechende rechtliche, organisatorische und technische Sicherheitsmaßnahmen getroffen werden. Also in rechtlicher Sicht lässt man sich zum Beispiel zusichern, dass, wenn eine entsprechende Anfrage kommt, dass das Unternehmen in den USA erstmal ein Veto dagegen einlegt. Ja. Rechtsmittel zum Beispiel einlegt. Genau, das zum Beispiel, das lässt man sich versichern oder zusagen. In organisatorischer Sicht kann man auch noch Maßnahmen besprechen, wer dann dafür zuständig ist und wie das irgendwie kommuniziert werden kann, soweit das US -Recht zulässig ist. Und in technischer Sicht wäre eine Maßnahme, dass die Daten, die in die USA geschickt werden, so verschlüsselt werden, wie quasi in einem verschlüsselten Container, dass sie dann von amerikanischen Sicherheitsbehörden gar nicht zur Kenntnis genommen werden können. Okay. Das ist natürlich auch etwas, was man oft nicht umsetzen kann. Ja. Deswegen bleibt das schwierig an der Stelle. Ich berate sehr viele Startups, die auf Cloud -Lösungen weltweit agierender Unternehmen zurückgreifen. Es gibt ja so ein paar, die haben zwar, diese Unternehmen haben oft einen Sitz in Luxemburg oder in Irland, aber sind ja dann trotzdem konzernrechtlich mit den USA verbunden. So ein Punkt, Stichwort Cloud Act, da kommen wir noch dazu. Genau. Das zu besprechen. Aber jetzt mal rein von der EU datenschutzrechtlichen Seite, berate ich meine Mandanten im Moment in die Richtung, dass ich sage, wir versuchen, diese Auslandsübermittlung schon Teil von dem Vertrag zu machen, der mit den Nutzern abgeschlossen wird. Bei meinen Startups, die sagen, ja, also wenn wir diese große Cloud-Lösung und diese Infrastructure-as-a -Service-Umgebung von dem US-Dienstleister nicht nutzen können, dann können wir unser ganzes Startup nicht erbringen und können wir gleich einfach sagen, tschüss, wir sind weg vom Markt. Ja. Deswegen versuchen wir das jetzt über diese Vertragslösung zu machen und machen damit diese Auslandsübermittlung als erforderlich zur Erfüllung des Vertrags, was auch eine der Erlaubnis-Tatbestände für eine Auslandsübermittlung darstellt. Absolut. Etwas zumindest noch ergänzen, was man auch noch machen kann, ist eine Einwilligung des Nutzers, aber dann hat man wieder eine Checkbox mehr, die man beim Registrierungsformular ausfüllen muss und da steigen viele wieder aus. Von daher ist das eine Lösung, die oft nicht so gut funktioniert. Okay. Und weißt du, du hast ja genau eben, du hast vorhin selber ein schönes Beispiel gebracht mit dem TÜV von den Autos, ja. Das würde ich jetzt hier gerne anwenden, ja, weil es einfach so ist, wenn man sich das mal bildlich vorstellt, ja, ist das ja so, dass jemand ein Urteil gefehlt hat, was in Bezug auf das Beispiel Autos und TÜV dazu geführt hat, dass eigentlich unmittelbar nach der Urteilsverkündigung die Leute aus ihrem Auto hätten aussteigen müssen, weil sie damit nicht weiterfahren können, wenn man das mal sinnbildlich nimmt. Und das ist ja genau das, was man sich überhaupt nicht vorstellen kann, weil die, die ja auch mit dem Auto fahren, ja, die haben ja vorher dieses Auto ganz normal erworben und durften mit dem Auto fahren und keiner hat ihnen gesagt, dass sie jetzt auf einmal das Auto stehen lassen dürfen und deswegen ist es ja dann so, dass man jetzt einfach mit den Lösungen, die du aufgezeigt hast, erst einmal dafür sorgt, dass die Autos weiterfahren dürfen. Das hört sich aber so ein bisschen an, wie man fährt so von Punkt zu Punkt und dann checkt man nochmal das Auto komplett, ja, und dann darf man eventuell weiterfahren oder muss nochmal eine Schraube festdrehen, ja, aus der ähnlichen Welt. Wenn wir das Beispiel weiterspielen wollen, also im Prinzip ist es so, du fährst auf der Autobahn nach Norwegen und dann sagt ihr irgendwie oben in Schleswig-Holstein, sagt ihr dann auch einmal auf der Autobahn der TÜV, hier ist Schluss, deine Abgasnorm erfüllt nicht, also dein Abgas ist mehr, als die Abgasnorm sagt und du musst jetzt hier aufhören zu fahren, ja, und das haben die wenigsten Unternehmen natürlich gemacht, die fahren weiter und lassen sich dann quasi von dem Autohersteller zusagen, dass dieser sich darum kümmern wird, dass deine Abgas, die Abgase, die dein Auto ausstößt, dass die jetzt demnächst dann der Norm unterfallen werden. Das ist jetzt nur der Workaround, dass man, weil natürlich, klar, willst du hier alle Cloud-Lösungen absegen. Aus rechtlicher Sicht muss ich natürlich sagen, es ist ein Risiko, die Aufsichtsbehörden haben das auf dem Schirm und der Max Schrems hat angefangen, ich glaube, der hat angefangen irgendwie 99 oder 100 Unternehmen anzuzeigen und hier Bußgeldverfahren gegen die einleiten zu lassen, weil die weiter Daten in die USA übermitteln. Also es ist ein Risiko. Aus anwaltlicher Sicht kann ich dieses Risiko, diese Risikoentscheidungen nicht treffen, die müssen meine Mandanten treffen und denen sage ich, ja, also es kann sein, dass euch das auf die Füße fällt, dass ihr hier eine Anzeige bekommt, Ärger mit der Aufsichtsbehörde. Meiner Erfahrung nach kann man mit Aufsichtsbehörden ganz gut verhandeln oder ganz gut reden, die sind auch kooperationsbereit, gerade in so einem Bereich. Das ist ja auch, also Grauzone wäre jetzt falsch, weil es ist einfach verboten, jetzt Daten in die USA zu ermitteln, wenn sie nicht hinreichend geschützt werden können. Aber man muss einfach auch irgendwo sehen, wie man das als Unternehmen handelt und man einfach das Risiko abwägen. Also du hast da gute Lösungen aufgezeigt und das Auto-Beispiel, da hätte ich echt Lust, das mal ein andermal noch weiter zu vertiefen, weil am Ende des Tages ist möglich, dass, wenn du das Beispiel weitererzählt hast, dass dann man auf die Idee kommt, na okay, wenn Schleswig-Holstein der Meinung ist, sie müssen das nicht zulassen, dann fahre ich halt drumherum. Ob das dann in Schleswig -Holstein unbedingt hilft, ist eine gute Frage, weil dann sind sie ja bald noch einsamer unter sich. Also von daher, glaube ich, ist es eine gute Geschichte, das sollten wir mal durchspielen. Aber wir haben noch einen wichtigen Punkt, das ist, empfinde ich auch, ein sehr zentraler Punkt und das ist dieser von dir schon kurz erwähnte US-Cloud-Act. Der scheint mir ja so das Zünglein an der Waage zu sein und da lese ich halt immer wieder in Zeitungen, Onlinebeiträgen, wenn es über den US-Cloud-Act geht, dass die Fragestellung ist, wer unterliegt diesem US-Cloud-Act und immer wieder sehe ich, dass dann gerade, dass eben ausschließlich US-Firmen das wären. Ich bin da mir nicht ganz sicher und deswegen will ich dich mal fragen, wie verhält sich das eigentlich genau? Ja, also Cloud-Act ist ein sehr, sehr spannendes Thema. Nach 9-11 2001 haben die Amerikaner hier schon, also nicht nur Kriege geführt bekanntlich, sondern eben auch einen großen Schritt in Richtung Data-War oder Cybercrime hier gemacht, um zu sehen, was da eigentlich im Internet alles passiert. Es war noch lange bevor es Facebook und das alles gab, gab es 2001 erstmal den Patriot-Act. Nach dem müssen US-Unternehmen auch verlangen, entsprechende Daten rausgeben, wenn Sicherheitsbehörden das wollen, weil das verlangen. Die Trump-Regierung hat da mit dem Cloud-Act noch einen draufgesetzt. Der Cloud-Act regelt zwar eigentlich nur, wie US-Sicherheitsbehörden an elektronische Beweismittel in Strafverfahren ankommen können. Und dieser Cloud-Act, der heißt ja, also es hat ja nichts mit Cloud -Computing zu tun, das verwechseln auch viele, das heißt ja eigentlich Clarifying Lawful Overseas Use of Data Act. Also hier geht es darum, eine Klarstellung, wie man mit Beweismitteln umgeht, die overseas, also außerhalb der USA bei Unternehmen irgendwie lagern. Und also Ausgangsfall war hier eine Berufungsentscheidung von Microsoft gegen die Vereinigten Staaten. Da gab es mal einen Schlagnahmebeschluss, der nicht funktioniert hat und dann hat die US-Regierung gesagt, so jetzt stellen wir klar, wie das eigentlich ist, wenn wir was von Microsoft haben wollen in den USA und wie die das dann vielleicht von Microsoft in Irland dann beschaffen sollen, diese Informationen, diese Beweismittel für Strafverfahren in den USA. Da geht es natürlich vor allem um Terrorermittlungen und dergestalt, ja, überall um Kleinkram. Und das wirklich Spannende an dem US-Cloud-Act ist, ist, dass er eben sich zwar an US-Unternehmen richtet, aber es um Daten geht, die im Ausland liegen. Und daher quasi nicht nur jetzt die Konstellation schon so sein kann, dass europäische Unternehmen, die einen Sitz in den USA haben, davon betroffen sein können. Also wenn wir uns ein Telekommunikationsunternehmen vorstellen, ein großes deutsches TK -Unternehmen in Deutschland, so ein Rosariese oder so, der auch in den USA eine Niederlassung hat, dann können die Amerikaner natürlich an diese Niederlassungen in den USA leicht herantreten, um Daten zu besorgen. Da ist natürlich dann die große Frage, wenn die Muttergesellschaft in Deutschland sitzt, inwieweit kann dann über diese konzernrechtliche Verbindung die kleine Niederlassung in den USA die Muttergesellschaft in Deutschland zu irgendwas bewegen? Das ist offen. Bisschen schwieriger ist der Fall dann, wenn die Muttergesellschaft in den USA sitzt, wie bei den meisten großen US-Dienstleistern, und dann die Tochtergesellschaft in Deutschland sitzt. Denn wenn eine US -Sicherheitsbehörde bestimmte Daten herausverlangt von der Muttergesellschaft in den USA, die aber in Europa verarbeitet werden, und die Muttergesellschaft zur Tochtergesellschaft in der EU sagt, pass auf, rücke mal die Daten raus, muss man sich natürlich nach europäischem Recht fragen, ist das überhaupt erlaubt. Und hier muss man ganz klar sagen, hier muss man erstmal eine Rechtfertigungsgrundlage finden, um diese Übermittlungen ins Ausland zu machen. Und das ist natürlich nach deutschem Recht, beziehungsweise EU -Recht, schwierig, weil welche Rechtsgrundlage soll es dann sein? Das US -Recht zählt hier nicht als Rechtsgrundlage. Also wenn hier Daten rausgerückt werden, dann braucht man erstmal eine Erlaubnis, das könnte jetzt eine Einbindung des Betroffenen sein, den wird man aber gar nicht erst informieren. Also das Quatsch zur Erfüllung eines Vertrags mit den Betroffenen ist auch Quatsch. Eine gesetzliche Pflicht nach europäischem Recht gibt es nicht. Und ein Abkommen ist das auch nicht. Also es gibt nach europäischem Recht keine Erlaubnis, diese Daten rauszurücken. Ja. Also das ist auch genau das, was so meine Auffassung war, dass eben auch, wie gesagt, europäische Firmen unter den US-Klautegg fallen können, wenn sie eben eine Niederlassung in Amerika haben. Das ist für mich nochmal ein ganz wichtiger Punkt. Das andere kann man überall lesen. Das hier liest man sehr selten. Manche tiefer gehenden Studien bringen das auf diesen Punkt. Aber wie das so oft ist, manchmal bleibt das einfach liegen. Was mich daran am meisten stört, ist, dass man hier eine Situation geschaffen hat, die ja eben rein politisch entstanden ist. Also hier kann ja keine Firma, weder der rosa Riese, den du angesprochen hast, noch irgendjemand anderes, kann ja irgendetwas dafür, dass das so ist. Da haben die Unternehmen keinen Einfluss drauf, sondern das ist eine politische Situation, die hier geschaffen worden ist. Und ich habe auch schon gehört, dass man eben jetzt vielleicht mit der neuen amerikanischen Administration hofft, dass man dort einfach dieses Thema in irgendeiner Form wieder aufnehmen kann und dann einfach da eine brauchbare Lösung für findet. Und für mich wird das Ganze übrigens noch verwirrender, wenn ich dann so etwas lese, dass einige EU-Staaten Backdoors fordern. Also das steht für mich dann auch in einem totalen Widerspruch, wo ich mich frage, wie passt denn das dann eigentlich zusammen? Also du kannst ja nicht das eine von dem einen verlangen, wenn du es selber nicht tust, so ungefähr. Aber spannender Punkt. Deswegen haben wir uns den ja auch ausgesucht. Also es ist einfach ein Dilemma für ein Unternehmen, was konzernrechtliche Verbindungen in die USA hat. Wird übrigens auch für die Konstellation von Schwesterunternehmen diskutiert. Also können quasi Töchter, wo die Muttergesellschaft nochmal in einem anderen Drittstaat sitzt, kann es da auch zu dieser Verbindung kommen. Also entweder muss man gegen europäisches Recht verstoßen oder gegen das US-Recht, je nachdem wen es trifft. Also ist wirklich eine sehr unbefriedigende Situation. Exakt. Und das darf ja eigentlich nicht sein. Das ist ja genau der Punkt. Eigentlich darf das ja nicht sein. Also in so einer globalen Welt. Das darf nicht sein. Und hier ist eigentlich der Gesetzgeber gefragt, eine handhabbare Lösung zu machen. Also nicht nur ist unser Wirtschaftsstandort in Europa gefährdet, weil wenn wir die Hauptdienstleister, die für uns eine Rolle spielen, die sitzen einfach in den USA und hier muss man eine vernünftige Lösung finden. Sonst geht es hier einfach auch nicht weiter und das kann auch nicht das Ziel sein. Absolut. Das sehe ich genauso. Marc, wir sind tatsächlich schon wieder am Ende der Zeit angekommen. Verrückt. Ich denke, wir hätten noch viel mehr Stoff und könnten noch länger zusammen sprechen. Also ich denke, es gibt viel zu tun. Da würde ich mal sagen, da stimmst du mir zu. Und auf der einen Seite, diese Globalisierung lässt sich aber auch nicht zurückdrehen. Also ich glaube, wir werden da aus dieser Geschichte nicht rauskommen. Ich wüsste auch gar nicht, warum wir das tun sollten. Und von daher hoffen wir mal, dass es gelingt auf einer gemeinsamen Wertbasis zwischen den Amerikanern und den Europäern, dass man dort eine gemeinsame Datenschutzbasis findet. Das wäre ein frommer Wunsch für das nächste Jahr, oder? Ja, dem kann ich mich nur anschließen. Datenschutz, finde ich, ist eine wichtige Sache. Ich berate viele Opfer von Identitätsdiebstahl und unternehmende Abwehr von Cybercrime und der Gestalt. Also spielt immer wieder Datenschutz eine Rolle, aber es muss auch irgendwo, wie gesagt, handhabbar bleiben und muss operativ funktionieren. Und wenn wir uns jetzt diese Cookie-Geschichte anschauen, die machen mich wahnsinnig, wenn ich jeden Tag da irgendwelche tausend Cookie-Style akzeptieren muss. Marc, wir sind leider raus. Mach's gut. Danke dir. Ja, tschau.