Safe-Harbor-Ende: Niedrige Erwartungen an neues Datenschutzabkommen
Nachdem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen gekippt hatte, will die EU-Kommission eine neue Fassung aushandeln. Doch EU-Digitalkommissar Günther Oettinger ist skeptisch, dass die US-Regierung zu weitreichenden Zugeständnissen bereit ist. Denn das Kernproblem ist die NSA-Massenüberwachung.
Die Massenüberwachung ist das zentrale Problem
Bei diesem Punkt räumt Oettinger im Gespräch mit dem Spiegel auch Fehler ein: „Wir haben die Praxis in den USA jahrelang nicht konsequent genug beobachtet.“ Daher biete das Urteil nun auch Anlass zur Selbstkritik. Eine berechtigte Aussage, denn einer der zentralen Kritikpunkte in dem EuGH-Urteil ist, dass die Überwachungsaktivitäten von US-Behörden bei dem Safe-Harbor-Abkommen ausgeklammert wurden. Stattdessen stellte es in erster Linie eine Art Selbstverpflichtung für amerikanische Internetdienste dar: Wenn diese zusichern, dass europäische Datenschutzvorgaben eingehalten werden, dürfen Nutzerdaten von EU-Bürgern in die USA übermittelt und ausgewertet werden.
„Was falsch ist, ist die Massenüberwachung.“ Volker Tripp, Digitale Gesellschaft
Das Problem sind allerdings weniger die Internetdienste wie Apple, Facebook und Google, sondern in erster Linie die NSA-Programme wie Prism und das massenhafte Abfangen von Datenströmen. Auf diese Weise können amerikanische Behörden praktisch auf sämtliche Nutzerdaten zugreifen und diese nach Belieben auswerten. Wie schon beim Urteil über die Vorratsdatenspeicherung sagt allerdings der Europäische Gerichtshof: Wenn Nutzerdaten von Behörden anlasslos gesammelt und ausgewertet werden, verstößt das gegen die europäischen Grundrechte. Stattdessen soll die Speicherung auf das Notwendigste beschränkt werden. „Was falsch ist, ist die Massenüberwachung“, erklärt daher auch Volker Tripp von Digitale Gesellschaft.
Datenschutz-Dilemma in Zeiten von Big Data
Doch im Umkehrschluss bedeutet das: Legt man das EuGH-Urteil konsequent aus, müssten amerikanischen Geheimdiensten die anlasslose Speicherung von europäischen Nutzerdaten einstellen, um den Auflagen des Safe-Harbor-Urteils zu entsprechenden – und damit ist derzeit nicht zu rechnen. Zumal die massenhafte Überwachung kein Alleinstellungsmerkmal der US-Geheimdienste ist, sondern vielmehr der sicherheitspolitische Status Quo. So will etwa auch der Bundesnachrichtendienst (BND) in diesen Bereichen aufrüsten. Und selbst bei der geplanten Vorratsdatenspeicherung der Bundesregierung bestehen erhebliche Fragezeichen, ob diese mit der der Rechtssprechung des EuGH übereinstimmt.
Ein Dilemma stellt das Urteil damit auch für die amerikanischen Internetdienste dar. Denn es besteht ein Widerspruch zwischen den amerikanischen Sicherheitsgesetzen und der EU-Datenschutzvorgaben, der sich praktisch nicht auflösen lässt. Selbst eine Trendwende ist derweil nicht in Sicht, wie etwa die Klage gegen Microsoft zeigt: Auch wenn amerikanische Internetdienste die Nutzerdaten auf Servern gespeichert haben, die nicht in den USA stehen – die US-Behörden wollen auf diese zugreifen können.
Angesichts dieser Ausgangslage ist die skeptische Einschätzung von Oettinger nachvollziehbar. „Eine verpflichtende staatliche Übereinkunft wäre die beste Lösung; allerdings glaube ich nicht, dass es dazu kommt“, so der EU-Kommissar im Spiegel. Ohnehin lasse sich derzeit nur schwer abschätzen, wann ein neues Abkommen zustande kommt. Zunächst müsse sich die EU noch auf die gemeinsame Datenschutzverordnung verständigen, um überhaupt eine Grundlage für die Verhandlungen zu haben. Daher hofft Oettinger nun, dass die Reform bis Weihnachten abgesegnet wird.
Wackelige Alternativen
Daher plädiert Oettinger zunächst auf eine Neuauflage von Safe Harbor, um Rechtssicherheit zu schaffen. Insbesondere „für viele mittelständische Unternehmen, die nun verunsichert sind und dringend Klarheit brauchen“, wäre so eine Lösung das Beste. Die Kernfrage ist allerdings, ob sich so ein Abkommen mit dem EuGH-Urteil vereinbaren lässt. Entsprechende Zweifel bestehen bereits bei vorhandenen Alternativen wie den EU-Standardvertragsklauseln und den Binding Corporate Rules. Im Kern erfüllen diese denselben Zweck wie Safe Harbor: Unternehmen dürfen Nutzerdaten übermitteln und auswerten, wenn diese zusichern, dass europäische Datenschutzvorgaben eingehalten werden. Nur gelten diese ausschließlich für ein einzelnes Unternehmen.
Doch auch bei den EU-Standardvertragsklauseln und Binding Corporate Rules besteht grundsätzlich das Problem, dass das massenhafte Sammeln und Überwachen von Nutzerdaten im Widerspruch zu den europäischen Grundrechten steht. Unmittelbar sind diese aber zunächst nicht betroffen, erklärt der IT-Fachanwalt Flemming Moos auf Anfrage von ComputerBase. Doch bei diesen Verfahren entscheidet nicht die EU-Kommission, sondern die nationalen Datenschutzbehörden bestimmen, ob die entsprechenden Datenflüsse mit dem EU-Recht vereinbar sind. Daher ist es mittel- bis langfristig durchaus möglich, dass auch die EU-Standardvertragsklauseln und Binding Corporate Rules wegfallen.
Für Internetdienste wie Facebook bleiben dann noch Nutzereinwilligungen, um den Datenfluss in die USA zu legitimieren. Inwieweit so eine Maßnahme dann noch Auswirkungen auf die Praxis hat, lässt sich derzeit aber kaum abschätzen.