Safe Harbor: Im Datenschutz-Limbo
Safe Harbor ist tot, und der Geburtstermin für ein Safe Harbor 2 droht zu verstreichen: In vier Tagen läuft die Frist aus, die Europas Datenschützer der EU-Kommission und der US-Regierung gesetzt haben, um ein neues Abkommen zum Datentransfer von Europa in die USA zu erarbeiten. Im Moment sieht es nicht danach aus, als ob es so bald eine Einigung geben wird. Und das könnte Folgen haben, für Unternehmen, Bürger und Datenschützer.
Das Safe-Harbor-Abkommen regelte seit dem Jahr 2000, unter welchen Umständen ein Unternehmen personenbezogene Daten in die USA übertragen darf, seien es Daten von Nutzern eines US-Internetdienstes oder die von Angestellten eines europäischen Unternehmens mit Zweigstellen in den USA. Unternehmen konnten dem Abkommen, das streng genommen nur eine Entscheidung der EU-Kommission war, beitreten, indem sie bestimmte Datenschutzverpflichtungen eingingen.
Die 240-Milliarden-Dollar-Industrie
Doch die Daten der Europäer waren nicht so sicher, wie der Name Safe Harbor – sicherer Hafen – suggerierte. Am 6. Oktober erklärte der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen für ungültig , weil es nicht mit der EU-Grundrechtecharta vereinbar ist. "Unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte" , fasst der ehemalige Bundesdatenschützer Peter Schaar das Urteil zusammen(öffnet im neuen Fenster) . Außerdem können EU-Bürger keine Auskünfte von US-Behörden verlangen oder die Rechtmäßigkeit der Zugriffe juristisch überprüfen lassen.
Damit ist einer Milliardenindustrie die Rechtsgrundlage entzogen worden. 2015 lag das Handelsvolumen im Digitalgeschäft zwischen den USA und Europa bei 240 Milliarden Dollar. Außerdem beschäftigen US-Firmen vier Millionen Angestellte in Europa – deren Mitarbeiterdaten oft in das Heimatland übertragen werden.
Die Artikel-29-Datenschutzgruppe(öffnet im neuen Fenster) hat als Reaktion auf das Urteil der EU-Kommission den USA eine Frist gesetzt(öffnet im neuen Fenster) : Bis zum 31. Januar soll eine Lösung gefunden werden, ansonsten würden die Datenschutzbehörden "angemessene Maßnahmen" ergreifen. In dem Gremium sind Vertreter der EU-Datenschutzbehörden, der europäische Datenschutzbeauftragte und ein Vertreter der EU-Kommission organisiert. "Angemessene Maßnahmen" könnten im Extremfall aus einem Verbot der Datenübertragung in die USA bestehen, wenn sich das betroffene Unternehmen weiterhin nur auf seine Verpflichtungen aus Safe Harbor beruft.
Alternativen zu Safe Harbor umstritten
So schnell dürfte das aber nicht passieren. "Es ist nicht davon auszugehen, dass der Datenaustausch nächste Woche gestoppt wird" , sagte Alexander Dix am Mittwoch in einem Vortrag an der Europäischen Akademie für Informationsfreiheit und Datenschutz(öffnet im neuen Fenster) (EAID). Dix war bis zum heutigen Donnerstag der Berliner Beauftragte für den Datenschutz, nun ist seine Nachfolgerin Maja Smoltczyk im Amt(öffnet im neuen Fenster) . Der bisherige Datenschutzbeauftragte der Hauptstadt sieht die Firmen in der Pflicht, eigene Maßnahmen zu entwickeln, um die Daten der Nutzer und Mitarbeiter in den USA zu schützen oder gar nicht erst zu übertragen: "Unternehmen sollten alle rechtlichen Möglichkeiten ausschöpfen, um sich der Überwachung entgegenzustellen." Als Beispiel nennt er eine Datenverarbeitung in Europa – ein Vorschlag, den auch andere Datenschützer schon gemacht haben.
Das stößt natürlich auf Unmut der Industrievertreter. "Daten ausschließlich in Europa zu verarbeiten, ist technisch in vielen Bereichen kaum umsetzbar" , sagt Susanne Dehmel, Bitkom-Geschäftsleiterin für Datenschutz und Sicherheit. In der Praxis berufen sich Unternehmen auf Alternativen zu Safe Harbor, vor allem die Standardvertragsklauseln(öffnet im neuen Fenster) und Binding Corporate Rules(öffnet im neuen Fenster) . Diese Vereinbarungen definieren zwar ebenfalls einen gewissen Schutz bei Datenübertragungen, doch die Argumentation des EuGH aus dem Safe-Harbor-Urteil wäre auf sie ebenfalls anwendbar: So lange US-Gesetze wie der Patriot Act über allem stehen und US-Behörden deshalb problemlos auf jede Art von Nutzerdaten aus der EU zugreifen dürfen, verletzen auch die Safe-Harbor-Alternativen "den Wesensgehalt der EU-Grundrechtecharta" . Das sehen auch die Datenschützer so. Ob die Safe-Harbor-Alternativen wirklich welche sind, ist derzeit also Ansichtssache.
Wann kommt Safe Harbor 2?
Ein Safe Harbor 2 wäre also wichtig. EU-Kommission und US-Regierung arbeiten schon länger an einem neuen Datenschutzabkommen. Genauer gesagt seit 2013, als Reaktion auf die Snowden-Enthüllungen. Sie stehen aber seit dem Urteil des EuGH und der Frist der Datenschützer unter Druck.
"Ob wir das Ziel, bis Ende Januar zu einem Ergebnis zu kommen, erreichen, wissen wir nicht" , sagte Elisabeth Kotthaus in ihrem EAID-Vortrag. Kotthaus ist stellvertretende Leiterin der politischen Abteilung der EU-Kommission in Deutschland. Vor allem in zwei Punkten sind sich die EU und die USA noch nicht einig: Transparenz und Kontrolle. Die EU fordert, dass Nutzer darüber informiert werden müssen, welche Behörde welche ihrer personenbezogenen Daten von den Unternehmen haben will. Gleichzeitig müssten die Behörden einer gewissen Kontrolle bei der Datenabfrage unterliegen.
So sollen sich EU-Bürger bei einer US-Institution beschweren können, wenn sie erfahren, dass ihre Daten abgefragt wurden. Dafür soll die Federal Trade Commission (FTC) zuständig sein, die Wettbewerbs- und Verbraucherschutzbehörde der USA. Doch die FTC ist bis jetzt nicht für Beschwerden ausgelegt. Die Amerikaner müssten also interne Veränderungen vornehmen und ein neues Beschwerdesystem einrichten.
Außerdem fehlt den USA ein nationales Gesetz, das Beschwerden von Ausländern überhaupt erst ermöglicht. Im März wurde zwar der Judicial Redress Act eingeführt und im Oktober vom Repräsentantenhaus bestätigt, allerdings muss das Gesetz noch durch den Senat und von Präsident Barack Obama unterzeichnet werden. Dazu sollte am heutigen Donnerstag eine Abstimmung des Rechtsausschusses im Senat stattfinden. Sie wurde allerdings wegen in letzter Minute eingereichter Änderungsvorschläge verschoben(öffnet im neuen Fenster) . Daher ist es äußerst unwahrscheinlich, dass das Gesetz noch vor dem 1. Februar in Kraft tritt.
Konkret würde der Judicial Redress Act(öffnet im neuen Fenster) einen verfahrensrechtlichen Schutz der Privatsphäre für Bürger aus ausgewählten Staaten ermöglichen. Damit würden sie einen ähnlichen, aber nicht denselben Schutz wie US-Bürger genießen. Letztere haben bereits das Recht, Ansprüche gegen EU-Behörden geltend zu machen. In anderen Punkten sei man aber schon weiter, sagte Kotthaus. Etwa bei der Kontrolle von Unternehmen, strengen Transferregeln oder einer gemeinsamen Überprüfung von Regeln.
Extraterritoriale Rechte für die USA?
Doch selbst wenn es irgendwann ein neues Datenschutzabkommen zwischen den USA und der EU gibt, und selbst wenn US-Unternehmen verstärkt Rechenzentren in Europa aufbauen – so wie es Microsoft und Facebook tun -, sind die Nutzerdaten damit längst nicht sicher vor den Begehrlichkeiten der US-Behörden. Denn die Vereinigten Staaten pochen auf das Recht, Kundendaten von US-Unternehmen einfordern zu können, egal wo deren Server stehen. Microsoft wehrt sich gegen diese Rechtsauslegung, hat aber bereits zweimal vor US-Gerichten verloren(öffnet im neuen Fenster) . Ein letztes, wegweisendes Urteil in dem Fall steht noch aus.