Oft wird der Politik vorgeworfen, sie würde bei der Internet-Gesetzgebung hinterher hinken - und dann noch alles falsch machen. Beim Austausch von personenbezogenen Daten kann man ihr zumindest nicht vorhalten, zu spät gehandelt haben: Bereits im Jahr 2000 schloss die EU mit den USA ein Abkommen, das die Übermittlung personenbezogener Daten regelt.
Schon zu diesem Zeitpunkt war klar, dass es sich um einen Kompromiss handelt: Die EU-Datenschutzrichtlinie sieht vor, dass keine Daten von den Bürgern des Kontinents an Länder übermittelt werden dürften, deren Datenschutz unter den EU-Standards liegt. Gleichzeitig drängte die Zeit, weil eine Grundlage für den Informationsaustausch im Internet gelegt werden musste, das bereits damals von US-Firmen dominiert wurde.
Der niedrigere Standard der USA sollte mit dem so genannten Safe-Harbor-Abkommen ausgeglichen werden: Darin ist festgelegt, dass sich US-Unternehmen gegenüber der US-Aufsichtsbehörde Federal Trade Commission (FTC) verpflichten müssen, bei der Datenverarbeitung sieben Punkte zu beachten.
Darunter fällt die Pflicht, Nutzer darüber zu informieren, welche Daten sie zu welchem Zweck weitergeben, sie bei Weitergabe an Dritte zu informieren und ihnen das Recht einzuräumen, die gespeicherten Daten einzusehen und sie ergänzen oder löschen zu können.
Das Abkommen ist bis heute in Kraft und bilden die Rechtsgrundlage für in Europa agierende Unternehmen wie Facebook, Google oder Amazon, aber auch für Konzerne, die beispielsweise die Personaldaten ihrer Mitarbeiter auf Servern in den USA verarbeiten.
Zahlen für die Datenauskunft
Doch das hehre Ziel der Transparenz ist hierbei nur auf dem Papier verwirklicht: Die Unternehmen können sich mit einem einzigen Schreiben bei der FTC selbst zertifizieren. Die Organisation überprüft in der Praxis nicht genauer, wie die sieben Punkte jenseits der Lippenbekenntnisse umgesetzt werden. Einer Studie aus dem Jahr 2008 (pdf hier) zufolge erfüllte damals nur ein Drittel der unter Safe Harbor gemeldeten US-Firmen die festgelegten Standards.
Für die FTC offenbar dennoch kein Grund, besonders aktiv zu werden: Im Jahr 2009 ging sie nur gegen sechs Firmen vor - und auch nur deshalb, weil diese fälschlicherweise ihre Selbstzertifizierung behauptet hatten.
Dabei gäbe es viel zu kritisieren, die angestrebten Rechte für Verbraucher lassen in der Praxis häufig zu wünschen übrig. Die Hälfte aller Unternehmen stellte Nutzern der Studie zufolge keine Informationen zur Verfügung, wie sie von Rechten wie Löschung oder Einsicht in die gespeicherten Daten Gebrauch machen; 314 Unternehmen verlangten für die Durchsetzung der zugesicherten Rechte sogar Summen von 2000 bis 4000 Dollar.
Hinzu kommt, dass in Folge der Anschläge vom 11. September US-Ermittlungsbehörden weitreichende Zugriffsrechte auf Daten erhalten, die auf amerikanischen Servern lagern. Ob und wie oft sie dabei auch persönliche Daten europäischer Bürger durchsuchen, bleibt trotz der im Abkommen festgelegten unternehmerischen Auskunftspflicht bei der Weitergabe an Dritte im Dunkeln.
Wie die Bundesregierung mauert
Datenschützer fordern die EU deshalb bereits seit längerem dazu auf, das Abkommen zu kündigen. "Wegen der engen wirtschaftlichen Beziehungen traut sich hierzu in der EU aber scheinbar niemand", klagte vor wenigen Monaten der schleswig-holsteinische Landesdatenschützer Thilo Weichert.
Wie hilflos die Politik mit dem Thema umgeht, zeigen die am 25. Oktober veröffentlichten Antworten der Bundesregierung auf eine kleine Anfrage von SPD-Bundestagsabgeordneten (hier als pdf). "Der Bundesregierung ist nicht bekannt, wie viele Unternehmen derzeit zertifiziert sind", heißt es da unter anderem.
Eine Überprüfung des umstrittenen Verfahrens durch die Bundesregierung fand bisher nicht statt. Dabei werden US-Unternehmen wie Facebook von Ministern wie Verbraucherschutzministerin Ilse Aigner (CSU) stets heftig kritisiert. Auch über Beschwerden oder Schlichtungsverfahren kann Berlin keine Auskunft geben.
Stattdessen weist die Regierung daraufhin, dass es sich um ein Abkommen zwischen der EU und den USA handelt. Deshalb, so die Argumentation, habe man auch zu den wenig schmeichelhaften Experten-Analysen nichts zu sagen: "Die Bundesregierung zieht daher keine Schlussfolgerungen aus den Untersuchungen", heißt es.
Dass Deutschland als größtes EU-Land keinen Einfluss auf eine mögliche Neuverhandlung hätte, wäre eine gewagte These. Allerdings könnten diese zu diplomatischen Verwerfungen mit den USA führen: Einige große Internetkonzerne müssten dann um ihr auf die Auswertung von Nutzerdaten ausgerichtetes Geschäftsmodell bangen.
Bei den Verbraucherschützern herrscht hingegen transatlantische Übereinstimmung: Datenschützer aus der EU und den USA legten im Mai eine gemeinsame Erklärung vor, in der sie eine Neuverhandlung des Datenschutzabkommens fordern. Eine Haltung der Bundesregierung zu der Forderung gibt es nicht: es gebe "keine abgestimmte Auffassung" zu der Resolution.