https://www.faz.net/-gqz-8877s

Datenschutzbeauftragte Hansen : „Safe Harbour“ war schon immer eine Illusion

  • Aktualisiert am

Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein, sieht die Argumente der europäischen Datenschützer bestätigt Bild: ULD Schleswig-Holstein

Der Generalanwalt des Europäischen Gerichtshofs hält europäische Daten in den Vereinigten Staaten nicht für sicher. Welche Folgen hat dies? Ein Gespräch mit der schleswig-holsteinischen Datenschutzbeauftragten Marit Hansen.

          Nach einem neuen Rechtsgutachten des Generalanwalts des Europäischen Gerichtshofes, Yves Bot, sind Server in den Vereinigten Staaten kein „Sicherer Hafen“ für europäische Daten. Was heißt das für den europäischen Datenschutz?

          Das Gutachten bestätigt, worauf die deutschen Datenschutzbehörden seit Jahren öffentlich aufmerksam machen. Das Prinzip des „Sicheren Hafens“ war schon immer eine Illusion. Seit den Snowden-Enthüllungen war klar, dass mit „Safe Harbour“ ein weiteres großes Problem verbunden ist: das gesetzliche Zugriffsrecht der amerikanischen Geheimdienste auf die Daten. Aber auch ohne den Geheimdienst-Zugriff war „Safe Habour“ problematisch. Viele Unternehmen behaupteten zwar, die Schutzprinzipien zu erfüllen, in Wirklichkeit taten sie es nicht.

          Wer sollte das überprüfen?

          Die Stellen, die für den Datentransfer verantwortlich sind, die zuständigen Datenschutzbehörden in Europa und die US-amerikanische Handelsaufsicht.

          Hat diese Überprüfung stattgefunden? Hatten die europäischen Datenschützer tatsächlich Zugriff?

          Nein. Die amerikanischen Unternehmen hatten schlicht die Möglichkeit zu behaupten, den „Safe Harbour“-Prinzipien zu genügen. Damit bekamen sie nach der Entscheidung der EU-Kommission im Jahr 2000 das Privileg, personenbezogene Daten aus Europa in die Vereinigten Staaten zu übermitteln. „Safe Harbour“ war von Beginn an eine Sonderregelung mit Nordamerika. Es verpflichtete die amerikanischen Unternehmen lediglich darauf, das kleine Einmaleins des Datenschutzes einzuhalten und die Daten nicht auf beliebige Weise zu verwenden. Und es bot ihnen eine ganz große Vereinfachung, denn das Abkommen umfasst nicht hundert Paragrafen, sondern lediglich sieben Prinzipien. Aber auch das hat nicht geklappt.

          Warum waren ihre Kontrollrechte wirkungslos?

          Wir haben verschiedentlich bei amerikanischen Unternehmen angefragt, wie sie ihre „Safe Harbour“-Verpflichtungen erfüllen. Uns wurde aber von niemandem ein Konzept vorgelegt.

          Hätten Sie die Datenverwendungspraxis nicht direkt nachprüfen können?

          Ja, aber wir bekamen die nötigen Information auch auf Nachfrage nicht. Die amerikanische Handelsaufsicht hat auf die meisten unserer Briefe nicht einmal reagiert. „Safe Harbour“ hat noch nie gut funktioniert. Wir empfahlen deshalb Unternehmen, die ihre Daten in die Vereinigten Staaten übermitteln, die Datenschutzversprechen dort selbst zu prüfen.

          Das heißt, Facebook konnte sich selbst bestätigen, dass die Daten, die es auf seine Server in die Vereinigten Staaten schickt, dort sicher sind?

          Ja, und so hat Facebook in Europa auch argumentiert: Es ist alles gut, wie es läuft.  So kam es, dass der Wiener Jurastudent Max Schrems bei der irischen Prüfungsbehörde um Prüfung bat, ob die Schutzprinzipien von Facebook tatsächlich eingehalten werden. Die irische Behörde zog sich auf eine Position blinden Vertrauens zurück. Und so kam es zur Klage und dem heutigen Gutachten. Die meisten Unternehmen schicken die Daten jedoch nicht innerhalb der eigenen Strukturen in die Vereinigten Staaten, sondern an andere Dienstleister.

          Die EU-Kommission verhandelt das „Safe Harbour“-Abkommen derzeit neu, angeblich will sie es bald bestätigen. Müsste sie sich einem Beschluss des Europäischen Gerichtshofs beugen und „Safe Harbour“ aussetzen, sofern dieser das jüngste Gutachten bestätigt?

          Wenn sich das Urteil des Gerichtshof hundertprozentig dem Gutachten anschließen würde, dann müsste das jetzige „Safe Harbour“-Abkommen sofort ausgesetzt werden und eine Neuverhandlung unter den Prämissen des Gutachtens geführt werden. Beispielsweise haben die geheimdienstlichen Zugriffsrechte in den bisherigen Verhandlungen nach unserer Einschätzung keine ausreichende Rolle gespielt.

          Wie konnte die EU-Kommission nach den NSA-Enthüllungen noch davon ausgehen, dass europäische Daten in den Vereinigten Staaten sicher sind?

          Sie sagen es: Es ist absurd, dass diese Enthüllungen nicht weiter berücksichtigt worden sind. 

          Was ändert sich konkret für amerikanische Firmen im Umgang mit europäischen Daten, falls sich der Gerichtshof dem Gutachten anschließt?

          Zunächst einmal ist es sehr wahrscheinlich, dass der EuGH die Argumente des Gutachtens berücksichtigt. Wenn dies so kommen sollte, muss das Abkommen relativ fix neu verhandelt werden. Die Kommission müsste sich neu positionieren, auch die Vereinigten Staaten müssten ihre Position überdenken.

          Was müssten sie ändern?

          Rechtsbehelfsmöglichkeiten für die europäischen Bürger sind in den Vereinigten Staaten schlicht nicht vorhanden. Der amerikanische Privacy Act schließt Nicht-US-Bürger aus. Das müsste auf der amerikanischen Seite nachgebessert werden.

          Kann es dazu kommen, dass „Safe Harbour“ ganz gestrichen wird? Und was würde das bedeuten?

          Dem Transfer europäischer personenbezogener Daten in die Vereinigten Staaten wäre in diesem Fall nicht komplett der Riegel vorgeschoben. Es gäbe zwei Konsequenzen: Die europäischen Datenschutzbehörden müssten die Einhaltung der Schutzbestimmungen in den Vereinigten Staaten anders, als es bisher der Fall war, tatsächlich prüfen. Das ließe sich mit „Safe Harbour“ vereinbaren, wäre jedoch mit praktischen Problemen verbunden.

          Falls das nicht klappen sollte?

          In diesem Fall gäbe es für Unternehmen noch andere Möglichkeiten, Daten in die Vereinigten Staaten zu übertragen, beispielsweise sogenannte Standardvertragsklauseln. Die gibt es bisher zwar auch schon, „Safe Harbour“ war aber die Abkürzung, es war bequemer. Diese Abkürzung ginge mit den Standardverträgen nicht mehr, sondern es müsste tatsächlich geprüft werden, ob die Schutzgarantien eingehalten werden oder nicht.  Die Rechtshilfemöglichkeiten europäischer Bürger würden dadurch erheblich verbessert.

          Das zentrale Argument des Gutachtens ist das Zugriffsrecht der Geheimdienste auf die europäischen Daten.  Hatten amerikanische Firmen nicht auch große wirtschaftliche Vorteile durch „Safe Harbour“?

          Ja. Faktisch befreite es die amerikanischen Firmen weitgehend von Schutz- und Prüfpflichten, auch wenn die Theorie des Sicheren Hafens anders klang. Alle großen Internetunternehmen haben mit dem „Safe Harbour“-Prinzip argumentiert. Sie konnten sich sicher sein, dass an dieser Stelle die europäischen Datenschützer nicht effektiv hätten eingreifen können. Nehmen wir ein Beispiel: Eine europäische Firma, die ein nach europäischen Standards datenschutzkonformes Soziales Netzwerk oder eine Suchmaschine aufbauen will, müsste sich nach viel strengeren Kriterien richten.

          Wie würde ein Urteil des Gerichtshofes, das sich dem Gutachten anschließt, konkret die Geschäftspraxis eines Unternehmens wie Facebook ändern? Würde sich die Datenverwertung ändern?

          Zunächst einmal ist Facebook nicht darauf angewiesen, seine Daten in die Vereinigten Staaten zu schicken. Entsprechende Umstellungen würden aber ein umfassendes Neudesign erfordern. Die konkrete – meines Erachtens ebenfalls zu einem Großteil unzulässige – Datenverwendungspraxis ist dagegen nicht Gegenstand des Gutachtens.

          Das Gutachten steht im Kontext der europäischen Datenschutzreform. Welche weiteren Datenschutzprinzipien stehen bei dieser Reform zur Debatte?

          Klar ist, dass der Massenzugriff durch die Geheimdienste aufhören muss. In diesem Punkt hat die EU aber noch eigene Hausaufgaben zu machen. Daher bleibt es außerhalb der Diskussion. Eine große Rolle wird die Idee der Zweckbindung spielen: Dürfen Daten nur für den Zweck eingesetzt werden, für den man sie auch erhoben hat? Oder kann man damit machen, was man möchte, wie es das amerikanische Modell weitgehend vorsieht? Oder nehmen wir Schutzprinzipien wie Datensparsamkeit und „Privacy by Design“: Hier müssen die Europäer bis in die einzelne Formulierung darauf achten, dass Schutzrechte nicht ausgehöhlt werden.

          Weitere Themen

          Goldener Bär für „Synonymes“ Video-Seite öffnen

          Israelischer Film : Goldener Bär für „Synonymes“

          Der israelische Regisseur Nadav Lapid ist von der Berlinale-Jury für seinen Film „Synonymes“ mit dem Goldenen Bären ausgezeichnet worden. Deutschland wurden am Samstagabend in Berlin auch zwei deutsche Regisseurinnen ausgezeichnet.

          Topmeldungen

          Russland und Europa : Pipeline-Grüße aus München

          Nach ihrem Auftritt auf der Sicherheitskonferenz feiert die russische Staatspresse Angela Merkel. Sie widersetze sich „illegalen“ Versuchen der Amerikaner, das Gaspipelineprojekt Nord Stream 2 noch zu verhindern, heißt es in Moskau.

          Liverpool gegen Bayern : Die Warnung des Jürgen Klopp

          Die Spannung steigt vor dem Champions-League-Knaller gegen die Bayern. Liverpool-Trainer Jürgen Klopp erklärt, worauf es ankommen wird im emotionalen Duell an der Anfield Road.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.