Gekipptes Safe-Habor-Abkommen: Gekipptes Safe-Habor-Abkommen: Diese Folgen hat das EuGH-Urteil für den Datenschutz

Frankfurt a.M. - Der Europäische Gerichtshof hat das sogenannte Safe-Harbor-Abkommen gekippt. Es sollte den Datenaustausch zwischen der EU in den USA ermöglichen. Die Richter sehen aber den Datenschutz nach europäischen Kriterien nicht gewährleistet, da US-Geheimdienste Zugriff auf die elektronischen Informationen über EU-Bürger haben, die in Rechenzentren in den USA gespeichert werden. Konkret ging es dabei um das soziale Netzwerk Facebook. Wir erläutern, was das Urteil für die Bürger und die Unternehmen bedeutet.

In vielen Fällen wird für die Nutzer alles beim Alten bleiben. Das Gericht hat sich ausschließlich mit dem Safe-Harbor-Abkommen gefasst. Dieses ist aber nur eins von mehreren rechtlichen Instrumenten, um den Datentransfer von der EU in die USA zu regeln. Bei Privatnutzern gibt es das Werkzeug der persönlichen Einwilligung, die oft mit dem Akzeptieren der Nutzungsbedingungen oder den Allgemeinen Geschäftsbedingungen eines Internetdienstes eingeholt wird.

Viele der 5500 Firmen, die bislang mit Safe Harbor agiert haben, müssen nun Einwilligungen bei ihren Nutzern einholen. Das kann durch eine Änderung der Nutzungsbedingungen geschehen, denen der Kunde zustimmen muss, wenn er den Dienst weiter nutzen will.

Der Nutzer erklärt sich damit einverstanden, dass persönliche Daten in Rechenzentren in den USA gespeichert werden. Damit akzeptiert er gleichzeitig, dass US-Behörden und insbesondere Geheimdienste Zugriff auf seine persönlichen Daten haben – die US-Gesetze erlauben, den Datenschutz aus Gründen der nationalen Sicherheit weitgehend aufzuheben.

Die Dienste aller großen US-Technologiekonzerne sind davon betroffen, neben Facebook auch Apple, Microsoft oder Google. Für viele Kunden war das Datenspeichern in den USA also bislang über Safe Harbor legitimiert. Das Gleiche wird künftig über die Einwilligung erreicht.

Da wird es schwierig. Denn nicht nur in den USA, sondern auch in vielen EU-Ländern haben Geheimdienste mehr oder weniger Zugriff auf Nutzerdaten. Generell aber gilt, dass es in Europa strengere Bestimmungen zum Schutz vor Datenmissbrauch gelten – im Zweifelsfall also immer europäische Anbieter für Internet- und Datendienste wählen. Allerdings tobt in den Vereinigten Staaten derzeit eine lebhafte Diskussion über Verschlüsselung.

Apple und andere IT-Firmen wollen ihren Kunden als besondere Dienstleistung anbieten, dass ihre Daten so stark verschlüsselt werden, dass nur der Nutzer selbst den Code entschlüsseln an. Sogar dem Diensteanbieter soll das Decodieren unmöglich sein. US-Sicherheitsbehörden wollen dies aber unterbinden und fordern, dass sie notfalls immer noch eine Möglichkeit zur Entschlüsselung haben müssten.

Lesen Sie auf der nächsten Seite weiter!

Auch für Firmen gibt es neben Safe Harbor verschiedene Wege, um den Datenaustausch zwischen den USA und der EU rechtlich abzusichern. Dazu zählen die sogenannten Standardvertragsklauseln. Das sind von der EU genehmigte Bestimmungen, bei denen sich zwei Unternehmen auf ein Datenschutzniveau einigen, das den europäischen Standards für Firmen entspricht.

Große Konzerne können zudem Corporate Binding Rules entwickeln, also Regeln, die etwa von deutschen Datenschutzbehörden genehmigt sind, aber auch bei Tochterfirmen in aller Welt gelten. Allerdings werden hier nur Regeln festgeklopft, die für die Unternehmen gelten.

Hier wird erkennbar, dass die aktuelle Lage was für Spitzfindige ist. Es ist bizarr: Es gibt eine Reihe von juristischen Regelwerken, die ähnlich gestrickt sind. Safe Harbor war dabei ein denkbar einfaches Verfahren: Die US-Firmen mussten sich nur auf eine Liste des Handelsministeriums setzen lassen, um pauschal zu erklären, dass sie sich an die EU-Regeln halten.

Auch mittels Standardvertragsklauseln und bei Corporate Binding Rules kann dies etwas aufwendiger erreicht werden. Damit kann aber nicht festgelegt werden, welche Befugnisse die Behörden in den jeweiligen Ländern beim Zugriff auf Kundendaten haben. Denn dafür sind – wie in den USA – nationale Regierungen zuständig.

Das bedeutet: Auch Standardvertragsklauseln und Corporate Bindung Rules verhindern nicht das vom EuGH kritisierte Abgreifen von Daten durch Geheimdienste. Die beiden alternativen rechtlichen Instrumente sind nach Einschätzung von Experten nur deshalb noch erlaubt, weil sich der EuGH noch nicht damit befasst hat. Würden aber auch diese Regelwerke kassiert, entstünde ein hohes Maß an Rechtsunsicherheit.

„Die EU-Kommission ist gefordert, mit den USA die bereits laufenden Verhandlungen über eine Neuauflage des Safe-Harbor-Abkommens zügig voran zu bringen“, sagt Susanne Dehmel, Datenschutzexpertin beim Higtechverband Bitkom. Ziel müsse sein, einen Kompromiss zu finden, der die Zugriffsmöglichkeiten der US-Behörden auf Daten von EU-Bürgern beschränke.

Nur so könne wohl die vom EuGH geforderte Übereinstimmung mit den Datenschutz-Regeln der Europäischen Union hergestellt werden. In weiteren Schritten müsse an völkerrechtlichen Vereinbarungen zum Datenschutz gearbeitet werden, um einen rechtlich verlässlichen globalen Transfer von elektronischen Informationen zu gewährleisten.