Safe-Harbor-Ende: Kompromiss mit US-Behörden bis Ende Januar fällig
Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) hat die EU-Kommission nun eine Frist bis Ende Januar 2016, um ein neues Abkommen auszuhandeln. Wenn bis dahin keine Lösung gefunden wurde, drohen allerdings Konsequenzen, erklärt die für den Datenschutz auf EU-Ebene zuständige Artikel-29-Gruppe.
So fordern die Datenschützer von den EU-Institutionen und den Mitgliedsstaaten, innerhalb der kommenden drei Monate eine neue Regelung mit den US-Behörden auszuhandeln. Entscheidend ist dabei allerdings, dass die Lösung sowohl in politischer als auch rechtlicher und technischer Hinsicht die Auflagen des EuGH erfüllen muss. Und an dieser Stelle wird der große Haken offensichtlich. Denn die Luxemburger hatten das Safe-Harbor-Abkommen gekippt, weil die Überwachungsinfrastruktur von US-Behörden wie der NSA samt der massenhaften Datenerfassung nicht mit der europäischen Grundrechtecharta übereinstimmt.
Wenn amerikanische Internetdienste wie Facebook also weiterhin Nutzerdaten in die USA übermitteln wollen, müssten die Massenüberwachung entsprechend der EuGH-Vorgaben eingeschränkt werden. In der Praxis bedeutet das: Die Big-Data-Ansätze sind passé, stattdessen muss – zumindest bei EU-Bürgern – etwa das Sammeln und Auswerten von Nutzerdaten auf das Notwendigste beschränkt werden. Mit NSA-Programmen wie Prism lassen sich diese Vorgaben aber kaum vereinbaren.
Daher gilt es auch als praktisch ausgeschlossen, dass die US-Behörden ihr Grundverständnis für die digitale Sicherheitspolitik über den Haufen werfen, nur um den transatlantischen Datenfluss rechtlich abzusichern. Dementsprechend unwahrscheinlich ist es auch, dass in den Verhandlungen ein Kompromiss zustande kommt, der den EuGH-Auflagen gerecht wird – vor allem innerhalb des knappen Zeitrahmens bis Ende Januar.
Zumal EU-Digitalkommissar Günther Oettinger bereits erklärt hat, dass eigentlich zunächst die EU-Datenschutzreform umgesetzt werden müsste, bevor mit den US-Behörden ernsthaft über ein „Safe Harbor 2.0“ verhandelt werden kann. Zwar planen die EU-Gremien, dass die gemeinsamen Datenschutzstandards noch in diesem Jahr beschlossen werden sollen. Doch die entsprechende Reform hängt seit Jahren in der Schwebe. Ob der Zeitplan dieses Mal eingehalten wird, ist also auch noch nicht in Stein gemeißelt.
Zumindest bis Ende Januar gewährt die Artikel-29-Gruppe aber noch eine Schonfrist. Unternehmen dürfen bis dahin Safe-Harbor-Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules nutzen. Wenn allerdings keine Lösung gefunden wird, werden sämtliche EU-Datenschutzbehörden von der Artikel-29-Gruppe aufgefordert, die „erforderlichen und geeigneten Maßnahmen“ zu ergreifen, um das EuGH-Urteil durchzusetzen.
Im Kern bedeutet das: Die gängigen rechtlichen Grundlagen für den Datenfluss in die USA entfallen dann. Welche Konsequenzen das dann in der Praxis hat, lässt sich derzeit aber kaum prognostizieren. Eine vorstellbare Alternative ist, dass amerikanische Firmen die Nutzungsbedingungen der Internetdienste anpassen. Zudem könnten die Nutzerdaten von EU-Bürgern nur noch in Rechenzentren innerhalb von Europa verarbeitet werden.