Safe Harbor EU-Datenschützer setzen Unternehmen Gnadenfrist

  • Unternehmen können zumindest bis April weiter Daten von der EU in die USA übertragen, wenn sie sich selbst entsprechende Regeln auferlegt haben.
  • Die Datenschützer verlängern also ihre Schonfrist nach dem Ende des Safe-Harbor-Abkommens.
  • Grund ist die Eingung von EU und Vereinigten Staaten auf einen "Privatsphäre-Schild", die allerdings von Datenschützern als zu unverbindlich für die USA kritisiert wird.
Von Jannis Brühl

Die Datenschützer der EU-Staaten wollen vorerst nicht gegen Unternehmen vorgehen, die weiter Informationen in die USA übertragen. Nachdem der Europäische Gerichtshof das "Safe-Harbor-Abkommen" zwischen der EU und den USA im Oktober für ungültig erklärt hatte, sind alternative Übertragungsgrundlagen umstritten. So genannte Standardvertragsklauseln und Binding Corporate Rules, mit denen Unternehmen sich selbst zu hohen Datenschutzstandards verpflichten, können also weiter verwendet werden, zumindest bis April.

Dann will die "Artikel 29 Datenschutzgruppe" entscheiden, in der sich die Datenschutzbehörden der EU-Mitgliedsstaaten sowie Norwegens, Islands und Liechtensteins treffen, verkündete sie in Brüssel. Sie berät die EU in Fragen des Datenschutzes, und dient als Forum, in dem sich die nationalen Datenschutzbehörden abstimmen.

Es geht um ein grundsätzliches Problem: Während die EU zumindest auf dem Papier die schärfsten Datenschutzvorschriften der Welt hat, gelten in den USA überhaupt keine einheitlichen Regeln. Betroffen von diesem Widerspruch sind Nutzer sozialer Netzwerke wie Facebook, aber auch Tausende Unternehmen: Viele Daten aus Europa wandern in die Vereinigten Staaten, wo die größten Cloud-Dienstleister und IT-Konzerne sitzen. Auf deren Servern sind Daten jedoch leicht für Geheimdienste wie die NSA und andere Behörden einsehbar. Die Enthüllungen von Edward Snowden haben gezeigt, dass diese Dienste massenhaft private Kommunikationsdaten abgreifen.

Die Aufseher haben eigentlich erhebliche Bedenken, ob Daten von EU-Bürgern in den USA ausreichend geschützt sind. Ihrer Einschätzung nach können US-Sicherheitsbehörden zu leicht auf diese Daten zugreifen. Trotzdem verzichten sie darauf, massenhaft Unternehmen abzustrafen, die weiter Daten in die USA übertragen. Das liegt am "Privatsphäre-Schild". Diese Einigung soll Safe Harbor ersetzen, die EU und die USA hatten sie am Montag verkündet. Die USA sollen der EU demnach zusichern, die Daten angemessen zu schützen, EU-Bürger sollen in den USA klagen dürfen und ein Ombudsmann im US-Außenministerium soll sich um Beschwerden kümmern.

Statt Safe Harbor: "Privatsphäre-Schild" soll europäische Daten in USA schützen

Die USA beugen sich europäischen Bedenken und wollen ihre Sicherheitsbehörden an die kurze Leine nehmen - sagt die EU. Noch sind die Zusagen zum Datenschutz aber vage. Von Jannis Brühl mehr ...

Der Text zum "Schild" ist noch gar nicht da

Bislang haben die Datenschützer die Details des "Schildes" nicht analysiert. Solange wollen sie die alternativen Regeln wie etwa die Standardvertragsklauseln akzeptieren, die sie nach dem Safe-Harbor-Urteil ebenfalls für ungültig halten. "Der Privatsphäre-Schild ist ein neuer Fakt", sagte Isabelle Falque-Pierrotin, Chefin der französischen Datenschutzbehörde und Präsidentin der Arbeitsgruppe. Dieser Fakt müsse nun geprüft werden. Die Aufseher wollen nun prüfen, inwieweit die neuen Vereinbarungen juristische Bindungskraft hätten.

In drei Wochen soll die Gruppe der Datenschützer den Text von der Kommission erhalten. Erst dann könne man prüfen, ob der neue "Schild" das Urteil des Europäischen Gerichtshofs umsetzt, oder ob die neuen Abmachungen mit den USA wieder zu schwach für EU-Datenschutzvorgaben sind. Dann wäre der Datentransfer von Unternehmen rechtswidrig, die Datenschutzbehörden könnten Strafen gegen sie verhängen.

"Wir sind sehr zufrieden, dass die Verhandlungsführer unsere Frist eingehalten haben", sagte Falque-Pierrotin. Das Ultimatum der Datenschützer an die USA und die EU, sich zu einigen, war in der Nacht zum Montag ausgelaufen. Viele der betroffenen Unternehmen waren deshalb unsicher, ob sie noch im legalen Rahmen Daten übertragen konnten.

Für die Datenschützer sind vier Punkte besonders wichtig. Diese "essentiellen Garantien" sollen die USA nun erfüllen. Sobald die Aufseher den Text von der EU erhalten, werden sie den "Schild" daraufhin überprüfen:

  • Die Verarbeitung von Daten müsse auf klaren Regeln basieren. Nutzer müssten immer wissen, was mit ihren Daten passiert.
  • Der Zugriff von Behörden müsse "notwendig und verhältnismäßig" sein.
  • Es müsse eine unabhängige Aufsicht darüber geben.
  • EU-Bürger müssen die Möglichkeit haben, gegen das Ausspionieren ihrer Daten vorzugehen.

Nur wenn der "Schild" diese Garantien erfülle, könnten Daten weiter übertragen werden.

Datenschutzaktivisten bemängeln, dass sich die EU auch im Rahmen des "Schildes" - dessen genaue Ausformulierung noch unklar ist - nur auf Zusicherungen der USA verlässt. Sie fragen: Wie viel ist eine schriftliche Zusicherung des US-Geheimdienstkoordinators wert? Der österreichische Jurist Max Schrems, der mit seiner Klage vor dem EuGH Safe Harbor zu Fall brachte, bezeichnete die Pressekonferenz der Datenschützer in Brüssel als peinlich für die EU-Kommission. Nicht einmal die Aufseher würden wissen, was unter dem neuen "Privatsphäre-Schild" zu verstehen sei.

Warum das Safe-Harbor-Urteil Angst vor Chaos schürt

Heute tritt das Urteil des Europäischen Gerichtshofs zum Datentransfer in Kraft. EU und Amerikaner ringen um ein neues Abkommen. Von V. Bernau, G. Bohsem, J. Brühl und T. Kirchner mehr ...