Safe Harbor gekippt – wie geht´s jetzt weiter?
Das Urteil des EuGH wird insbesondere von europäischen Datenschützern und IT-Verbänden begrüßt. Es schafft allerdings auch erhebliche Rechtsunsicherheit und bringt für viele Firmen deutlichen Mehraufwand mit sich. Neue Regelungen sollen es daher nun richten.
Wie nach den Ausführungen des zuständigen EU-Generalanwalts Yves Bot im September bereits zu erwarten war, wurde das schon länger wackelige Safe-Harbor-Abkommen zwischen der EU und den USA gestern vom EuGH gekippt. Die USA gewährleisten “keinen angemessenen Schutz übermittelter Daten” von EU-Bürgern, so das vernichtende, aber eben nicht überraschende Urteil des obersten europäischen Gerichts.
Die aus dem Jahr 2000 stammende Entscheidung der EU-Kommission, dass die “Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten”, die seitdem von US-Unternehmen immer wieder als Argument ins Feld geführt wurde, ist damit hinfällig. Dem EuGH zufolge habe es die Kommission damals versäumt zu prüfen, ob ein angemessener Schutz der Grundrechte von EU-Bürgern in den USA tatsächlich gewährleistet ist. Sie habe lediglich das Abkommen geprüft, an das aber nur amerikanische Unternehmen, nicht jedoch die Behörden der Vereinigten Staaten gebunden sind.
Insbesondere der US Patriot Act, der allerdings erst nach dem Safe-Harbor-Abkommen erlassen wurde, sorgt für die nun bemängelte Rechtsunsicherheit. Er erlaubt es US-Sicherheitsbehörden, sich in bestimmten Fällen Zugriff auf die gespeicherten Daten zu verschaffen. Datenschützer kritisierten das bereits damals heftig, der EuGH gibt ihnen jetzt, mit über zehn Jahren Verspätung Recht.
Was bedeutet die Entscheidung des EuGH für Firmen?
Was bedeutet das nun für Firmen, die Dienste von US-Unternehmen nutzen? “Die Konsequenzen für die Unternehmen wiegen schwer”, sagt etwa der Kölner Anwalt Christian Solmecke. “In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen.”
Noch liegt die Urteilsbegründung nicht vor. Folgt das Gericht aber der Auffassung des Generalanwalts Bot in vollem Umfang, dann ist (aus Sicht der betroffenen Firmen) immerhin nur die Datenübermittlungen ab heute und nicht rückwirkend unwirksam. “Nichts desto trotz besteht nun für die Zukunft erst einmal eine große Rechtsunsicherheit für die Unternehmen in Bezug auf die Übertragung der Daten”, so Solmecke weiter. Außerdem hätten Nutzer nun jederzeit die Möglichkeit, ihr Einverständnis zu widerrufen und die Löschung der Daten zu verlangen. Das würde für die Geschäftsprozesse der Unternehmen eine große Belastung darstellen.
Nico Werdermann von der Berliner Kanzlei Werdermann | von Rüden gibt zudem zu bedenken: “Das Urteil wird dazu führen, dass US-amerikanische Internetkonzerne ihre Daten auf Servern speichern müssen, die sich in Europa befinden und entsprechend dem nationalen Datenschutzrecht gesichert werden.” Davon seien etwa Facebook, Google und Apple betroffen. In Europa genüge es, wenn das Datenschutzrecht des Mitgliedsstaates eingehalten wird, in dem der Server steht, da sich die Mitgliedsstaaten vertrauten, dass jeweils europäisches Recht eingehalten wird. Da laut Werdermann das Datenschutzrecht in Irland am liberalsten ist, haben die meisten Internetkonzerne ihren Sitz auch dort – und werden künftig womöglich auch ihre Server dorthin umziehen.
Keine Daten mehr über den Großen Teich?
Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft e.V. macht allerdings in einer Stellungnahme auch deutlich, dass das EuGH-Urteil keineswegs bedeutet, dass künftig gar keine Daten mehr über den Atlantik wandern. Schließlich sehe das europäische Datenschutzrecht zahlreiche Ausnahmen für die Übermittlung personenbezogener Daten vor. “Diese Ausnahmen greifen allerdings nur dann, wenn Nutzerinnen und Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. Datenverarbeitende Unternehmen aus den USA müssen europäische Nutzerinnen und Nutzer daher auch über die geheimdienstlichen Zugriffsmöglichkeiten auf ihre Daten informieren, damit diese weiterhin übermittelt werden dürfen”.
Laut Sander stecken die Firmen hier aber in der Zwickmühle – denn dieser Informationspflicht nach europäischem Recht steht eine Verschwiegenheitsverpflichtung nach US-Recht entgegen, die diese Aufklärung nahezu unmöglich macht. Sanders Schlussfolgerung lautet also: “Der Ball liegt daher im Spielfeld der politisch Verantwortlichen auf beiden Seiten des Atlantiks. Sie stehen in der Pflicht, der geheimdienstlichen Massenüberwachung und damit einem der größten Hindernisse für freie Datenflüsse zwischen der EU und den USA endlich ein Ende zu bereiten.”
“Jetzt herrschen gleiche Rahmenbedingungen für alle”
Dieser Auffassung ist grundsätzlich auch Oliver Süme, Vorstand Politik & Recht beim eco Verband. Er erklärt in einer Stellungnahme: “Bundesregierung und Europäische Union müssen jetzt schnellstmöglich eine neue Regelung finden, die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft.” Denn datenbasierende Geschäftsmodelle und der transnationale Austausch von Daten würden volkswirtschaftlich immer wichtiger. Dem sachgerechten Ausgleich zwischen einem barrierefreien internationalen Datenfluss und dem Schutz personenbezogener Daten komme daher ein “extrem hoher Stellenwert” zu.
Doch des einen Leid, ist immer auch des andern´ Freud: Der Bundesverband IT-Mittelstand (BITMi) beispielsweise sieht im Ende von Safe Harbor eine Chance für digitale Wirtschaft in Europa. “Das Safe-Harbor Prinzip hat in den letzten Jahren für eine enorme Wettbewerbsverzerrung zu Ungunsten der digitalen Wirtschaft in Europa geführt. Während beispielsweise deutsche Unternehmen sehr hohe Auflagen erfüllen mussten, um den Datenschutz zu gewährleisten, konnten sich gerade große internationale IT-Konzerne hinter Regelungen ihrer Heimatstaaten verstecken oder arbeiteten teilweise sogar aktiv daran mit, dass Daten an Regierungsbehörden weitergegeben wurden”, wird Verbandspräsident Oliver Grün in einer Mitteilung zitiert.
“Jetzt herrschen gleiche Rahmenbedingungen für alle und das ist gut für den Wettbewerb. Wenn wir mit einer EU-Datenschutzgrundverordnung den Datenraum weiter vereinheitlichen und stärken ist das zum Vorteil aller Marktteilnehmer und damit am Ende auch gut für die Nutzer”, so Grün weiter. Seiner Ansicht nach sollten “jetzt erst recht datengetriebene Geschäftsmodelle aus Europa für Europa gefördert und nicht torpediert werden” so Grün in Hinblick auf die anstehende Verabschiedung der EU-Datenschutzgrundverordnung.
Auch der Bundesverband Digitale Wirtschaft (BVDW) begrüßt das Urteil. Dessen Vizepräsident Thomas Duhr sieht darin ebnefalls “die Chance, einen tatsächlich wettbewerbsfähigen und europäisch einheitlichen Regulierungsrahmen zu schaffen, der sowohl die Interessen der betroffenen Unternehmen aber auch die der Nutzer stärkt.” Die Entscheidung sei zudem “ein elementarer Schritt in Richtung globaler Rahmenbedingungen, die der in einer sich digitalisierenden Wirtschaft stetig zunehmenden Relevanz von Daten gerecht werden. Wir benötigen zudem auch eine für alle Beteiligten bindende Garantie, dass rechtmäßig und auf Grundlage staatlicher Abkommen erlangte Daten nicht herausgeben werden”, so Duhr weiter.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de