Safe Harbor - Was kommt nach der Amnestie?

Unterschiedlicher könnten die Mentalitäten, wenn es um Datenschutz geht, kaum sein. In der EU steht das Grundrecht auf informationelle Selbstbestimmung traditionell hoch in der Gunst, in den USA geht nichts über die nationale Sicherheit. So hat man im eigenen Land schon von vielen Digitalunternehmen die Herausgabe personenbezogener User-Daten erzwungen. Aufgrund dieser Gefährdung personenbezogener Daten von EU-Bürgern in den USA kippte der Europäische Gerichtshof (EuGH) in Luxemburg Anfang Oktober das Safe-Harbor-Ankommen, das seit 2000 den Datentransfer zwischen den Kontinenten regelte.

Eine Amnestie, die Unternehmen, die noch auf Safe-Harbor-Basis Daten über den Atlantik schicken, vor Ermittlungen verschont, ist mit dem 1. Februar 2016 beendet. Jetzt ist der Transfer, solange er sich an die alte Regelung hält, illegal. Doch was kommt nun? Im Zeitalter von Digitalisierung, Web 4.0. und Internet of Everything ist es nicht möglich, auf die Zusammenarbeit mit US-amerikanischen Unternehmen zu verzichten.

Kurz nach dem EuGH-Urteil begann man, an einer Nachfolgeregelung zu arbeiten. Wie weit die Verhandlungen zu einem "Safe Harbor 2.0" vorangeschritten sind, will die EU-Kommission dem Parlament im Laufe des Montags mitteilen. Wichtigste Anforderung an die neue Übereinkunft ist ein ausreichender Schutz der persönlichen Daten europäischer Bürger in den USA. Problematisch ist das besonders, weil in den USA Behörden von Unternehmen nahezu alle Daten fordern können: Die nationale Sicherheit steht über dem europäischen Grundrecht auf informationelle Selbstbestimmung.

Grob sollte das "Umbrella Agreement" schon Ende Januar stehen, Anfang Februar sollten finale Verhandlungen stattfinden. Daraus wird jetzt wohl nichts. Denn zwei in den USA anstehende Entscheidungen legen einem neuen Abkommen, wie es aussieht, noch mehr Steine in den Weg.

Der US-Senat hat überraschend eine Abstimmung zum "Judicial Redress Act", Teil des Umbrella Agreements, verschoben. Das Repräsentantenhaus hatte dem Act noch im Oktober zugestimmt. Das Gesetz sollte Bürgern der EU die Möglichkeit geben, bei Datenschutzverletzungen direkt in den USA zu klagen. Allerdings ist eine Gleichberechtigung von EU- und US-Bürgern bei der informationellen Selbstbestimmung nur auf den ersten Blick der Fall, da der Judicial Redress Act viele Klagevoraussetzungen und -einschränkungen enthält.

Zudem wurde der Text in der vergangenen Woche noch verschärft. Der neue Entwurf sieht vor, dass die Bestimmungen der EU-Staaten die nationalen Sicherheitsinteressen der USA nicht wesentlich behindern dürfen. Im Endeffekt ist dieser Passus genau der Grund, weshalb der EuGH Safe Harbor gekippt hat. Denn nach EU-Recht dürfen die Grundrechte der Unions-Bürger - und das Recht auf informationelle Selbstbestimmung ist eines davon - nicht über die nationalen Interessen der USA gestellt werden.

Mit der Verschiebung ist ein neues Abkommen, das Safe Harbor ablöst, zum eigentlich notwendigen und geplanten Termin - jetzt - nicht mehr möglich. Wenn die USA auf die Forderungen der EU nach einem an europäisches Recht angepassten Schutzniveau der persönlichen Informationen nicht eingehen, steht ein neues Abkommen ohnehin in den Sternen.

Eine zweite Entscheidung erschwert ein neues Übereinkommen zusätzlich. Microsoft klagt - mittlerweile in dritter Instanz - gegen die Herausgabe seiner User-Daten an die US-Regierung. Das Delikate an der Sache: Es geht nicht etwa um die Weitergabe der Daten, die sich ohnehin schon in den USA befinden - gegen die andere US-Companys vergebens vor den Geheimgerichten vorgehen wollten - sondern um Daten auf europäischen Servern.

Im vorliegenden Fall sind es Server in Irland. Basis der Regierung ist der sogenannte "Electronic Communications Privacy Act". Wenn das Gericht den Vollzug der Regierung bestätigen sollte, wäre eine Neuauflage von Safe Harbor sinnlos, so der BVDW. Denn dann wäre nicht einmal das Datenhosting außerhalb der USA vor dem Zugriff der US-Behörden geschützt.

"Sollte beispielsweise das Berufungsgericht im Microsoft-Fall zugunsten der US-Behörden entscheiden, käme dies quasi einem verordneten Rechtsbruch gleich. US-Unternehmen müssten sich dann entscheiden, ob sie lieber gegen US- oder EU-Recht verstoßen wollen, wenn sie einem entsprechenden Durchsuchungsbefehl Folge leisten", sagt BVDW-Vizepräsident Thomas Duhr von IP Deutschland. Man müsse Unternehmen davon abraten, bei der aktuellen Lage, auf Datendienstleistungen US-amerikanischer Unternehmen zu setzen.

Im Oktober hatte der EuGH in Luxemburg das Safe-Harbor-Abkommen, das europäische Unternehmen als Grundlage der Datenübermittlung in die USA nutzten, für ungültig erklärt. Personenbezogene Daten europäischer Bürger seien nicht ausreichend vor dem Zugriff durch US-Behörden geschützt, so das Gericht.

Ausgangspunkt des Streits war die Klage des Österreichers Max Schrems, der den mangelnden Datenschutz bei Facebook kritisierte. US-Unternehmen seien verpflichtet, in Europa geltende Schutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit beziehungsweise des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig können EU-Bürger nicht die Löschung ihrer Daten verlangen, so der EuGH.

Kurz nach dem Urteil des EuGH einigten sich EU-Kommission und US-Regierung darauf, einen Nachfolger, das "Umbrella Agreement", auf den Weg bringen zu wollen. Eigentlich sollten Details des Übereinkommens geheim bleiben. Ein geleakter Entwurf wurde von Datenschützern scharf kritisiert. Der FREE Group zufolge sei demnach eine Weitergabe von Daten an US-Strafverfolgungsbehörden in großem Umfang zulässig. Auch eine Weitergabe an Geheimdienste von Drittstaaten ist nach den damals öffentlich gewordenen Details offenbar möglich.