Microsoft darf Nutzerdaten weiterhin in die USA übermitteln
Trotz NSA-Überwachung darf Microsoft weiterhin persönliche Daten europäischer Skype- und Hotmail-Nutzer in die USA übermitteln. Das hat die Luxemburger Datenschutzbehörde (CNPD) entschieden und damit eine Beschwerde der Datenschutz-Initiative „Europe-v-Facebook“ abgewiesen.
Diese wollte von der Behörde überprüfen lassen, ob Microsoft angesichts der NSA-Überwachung die europäischen Datenschutzvorschriften einhält. Das Ergebnis der Prüfung enttäuscht die Datenschutz-Aktivisten, denn nach Ansicht der Behörde könne Microsoft in den USA immer noch ein „angemessenes Schutzniveau“ gewährleisten. Die Argumentation lautet: Die Niederlassungen von Microsoft und Skype in Luxemburg übermitteln die persönlichen Nutzerdaten an den Microsoft-Konzern in den USA. Daher würden die europäischen Niederlassungen nicht direkt mit der NSA zusammenarbeiten.
In einer Antwort (PDF-Datei) auf die Skype-Beschwerde schreibt die Luxemburger Behörde, der VoIP-Anbieter hätte versichert, dass er der NSA keinen direkten Zugriff auf die Nutzerdaten verschafft habe: „Skype streitet also ausdrücklich ab, der NSA Zugriff auf ihren gesamten Datenbestand zwecks Massenauswertung zu gewähren. Skype versichert, dass nur erhebliche individualisierte Daten im Einzelfall übermittelt werden.“ Und das stehe im Einklang mit dem Safe-Harbor-Abkommen. Das regelt den Austausch von Nutzerdaten zwischen den USA und der EU, ist infolge der NSA-Enthüllungen aber äußerst umstritten.
Max Schrems, Sprecher von „Europe-v-Facebook“, kritisiert diese Begründung: „Safe Harbor erlaubt nur Datenweitergabe für Strafverfolgung und nationale Sicherheit, die NSA macht aber sehr viel mehr als das.“ Außerdem habe die EU-Kommission bereits die Einschätzung abgegeben, dass Prism nicht durch das Abkommen gedeckt ist. Offensichtlich wären sich die EU-Institutionen selbst noch nicht im Klaren, wie man die NSA-Überwachung rechtlich einordnen soll. Schrems fordert nun von der EU-Kommission, präzise zu formulieren, wie das Safe-Harbor-Abkommen im Hinblick auf die NSA-Überwachung zu bewerten ist.
Generell verärgert Schrems, dass die Beschwerde von der Luxemburger Datenschutzbehörde offenbar nur oberflächlich geprüft wurde – ähnlich wie die irische Datenschutzbehörde im Fall von Facebook. Dass die persönlichen Daten von Skype- und Hotmail-Nutzern nicht von Luxemburg aus, sondern über den US-Mutterkonzern an die NSA übermittelt werden, wäre ohnehin klar gewesen. „Es ist aber nicht klar, ob die Behörde glaubt, dass Prism nicht existiert und einfach Microsofts Presserklärungen für glaubwürdiger hält als die Enthüllungen von Snowden“, so Schrems.
Die Beschwerde von „Europe-v-Facebook“ wäre „ein Testfall, der perfekt zeigt, dass in der Praxis nichts passiert, selbst wenn man als Unternehmen Daten an die NSA weitergibt.“ Die Politik „ergieße sich in Wortmeldungen“, wenn es um den Datenschutz gehe. Konkrete Reaktionen würden im Ernstfall aber ausbleiben. Angesichts der fehlenden Konsequenzen mache sich die EU mit dem „Grundrecht auf Datenschutz international lächerlich“.