Safe Harbor: EU-Datenschützer setzen Unternehmen Gnadenfrist

Die Datenschützer der EU-Staaten wollen vorerst nicht gegen Unternehmen vorgehen, die weiter Informationen in die USA übertragen. Nachdem der Europäische Gerichtshof das "Safe-Harbor-Abkommen" zwischen der EU und den USA im Oktober für ungültig erklärt hatte, sind alternative Übertragungsgrundlagen umstritten. So genannte Standardvertragsklauseln und Binding Corporate Rules, mit denen Unternehmen sich selbst zu hohen Datenschutzstandards verpflichten, können also weiter verwendet werden, zumindest bis April.

Dann will die "Artikel 29 Datenschutzgruppe" entscheiden, in der sich die Datenschutzbehörden der EU-Mitgliedsstaaten sowie Norwegens, Islands und Liechtensteins treffen, verkündete sie in Brüssel. Sie berät die EU in Fragen des Datenschutzes, und dient als Forum, in dem sich die nationalen Datenschutzbehörden abstimmen.

Es geht um ein grundsätzliches Problem: Während die EU zumindest auf dem Papier die schärfsten Datenschutzvorschriften der Welt hat, gelten in den USA überhaupt keine einheitlichen Regeln. Betroffen von diesem Widerspruch sind Nutzer sozialer Netzwerke wie Facebook, aber auch Tausende Unternehmen: Viele Daten aus Europa wandern in die Vereinigten Staaten, wo die größten Cloud-Dienstleister und IT-Konzerne sitzen. Auf deren Servern sind Daten jedoch leicht für Geheimdienste wie die NSA und andere Behörden einsehbar. Die Enthüllungen von Edward Snowden haben gezeigt, dass diese Dienste massenhaft private Kommunikationsdaten abgreifen.

Die Aufseher haben eigentlich erhebliche Bedenken, ob Daten von EU-Bürgern in den USA ausreichend geschützt sind. Ihrer Einschätzung nach können US-Sicherheitsbehörden zu leicht auf diese Daten zugreifen. Trotzdem verzichten sie darauf, massenhaft Unternehmen abzustrafen, die weiter Daten in die USA übertragen. Das liegt am "Privatsphäre-Schild". Diese Einigung soll Safe Harbor ersetzen, die EU und die USA hatten sie am Montag verkündet. Die USA sollen der EU demnach zusichern, die Daten angemessen zu schützen, EU-Bürger sollen in den USA klagen dürfen und ein Ombudsmann im US-Außenministerium soll sich um Beschwerden kümmern.

Der Text zum "Schild" ist noch gar nicht da

Bislang haben die Datenschützer die Details des "Schildes" nicht analysiert. Solange wollen sie die alternativen Regeln wie etwa die Standardvertragsklauseln akzeptieren, die sie nach dem Safe-Harbor-Urteil ebenfalls für ungültig halten. "Der Privatsphäre-Schild ist ein neuer Fakt", sagte Isabelle Falque-Pierrotin, Chefin der französischen Datenschutzbehörde und Präsidentin der Arbeitsgruppe. Dieser Fakt müsse nun geprüft werden. Die Aufseher wollen nun prüfen, inwieweit die neuen Vereinbarungen juristische Bindungskraft hätten.

In drei Wochen soll die Gruppe der Datenschützer den Text von der Kommission erhalten. Erst dann könne man prüfen, ob der neue "Schild" das Urteil des Europäischen Gerichtshofs umsetzt, oder ob die neuen Abmachungen mit den USA wieder zu schwach für EU-Datenschutzvorgaben sind. Dann wäre der Datentransfer von Unternehmen rechtswidrig, die Datenschutzbehörden könnten Strafen gegen sie verhängen.

"Wir sind sehr zufrieden, dass die Verhandlungsführer unsere Frist eingehalten haben", sagte Falque-Pierrotin. Das Ultimatum der Datenschützer an die USA und die EU, sich zu einigen, war in der Nacht zum Montag ausgelaufen. Viele der betroffenen Unternehmen waren deshalb unsicher, ob sie noch im legalen Rahmen Daten übertragen konnten.

Für die Datenschützer sind vier Punkte besonders wichtig. Diese "essentiellen Garantien" sollen die USA nun erfüllen. Sobald die Aufseher den Text von der EU erhalten, werden sie den "Schild" daraufhin überprüfen:

• Die Verarbeitung von Daten müsse auf klaren Regeln basieren. Nutzer müssten immer wissen, was mit ihren Daten passiert.
• Der Zugriff von Behörden müsse "notwendig und verhältnismäßig" sein.
• Es müsse eine unabhängige Aufsicht darüber geben.
• EU-Bürger müssen die Möglichkeit haben, gegen das Ausspionieren ihrer Daten vorzugehen.

Nur wenn der "Schild" diese Garantien erfülle, könnten Daten weiter übertragen werden.

Datenschutzaktivisten bemängeln, dass sich die EU auch im Rahmen des "Schildes" - dessen genaue Ausformulierung noch unklar ist - nur auf Zusicherungen der USA verlässt. Sie fragen: Wie viel ist eine schriftliche Zusicherung des US-Geheimdienstkoordinators wert? Der österreichische Jurist Max Schrems, der mit seiner Klage vor dem EuGH Safe Harbor zu Fall brachte, bezeichnete die Pressekonferenz der Datenschützer in Brüssel als peinlich für die EU-Kommission. Nicht einmal die Aufseher würden wissen, was unter dem neuen "Privatsphäre-Schild" zu verstehen sei.