Erstellt am: 7. 10. 2015 - 19:00 Uhr

Heftige Konsequenzen des "Safe Harbour"-Urteils

Das EuGH-Urteil trifft neben "Safe Harbour" direkt auch Teile von TTIP und TISA, die neue EU-Datenschutzverordnung, Internetkonzerne und Tausende Firmen aus den USA.

Das Urteil des Europäischen Gerichtshofs (EuGH), der das "Safe Harbour"-Abkommen Anfang Oktober vernichtend klar verworfen hatte, sorgt für Verwirrung über die Konsequenzen. Beobachter sind sich nur weitgehend einig, dass vorerst einmal nichts passieren werde, da der Fall von "Safe Harbour" eine so schwer überschaubare Zahl von Verträgen, Gesetzen und Datentransfers betreffe. So widerspricht der EuGH zum Beispiel allen bereits vereinbarten Passagen in den aktuellen Freihandelsabkommen TTIP und TISA zum "freien und ungehinderten Fluss der Daten" in die USA.

Zudem wird der Kommission vom EuGH die Kompetenz aberkannt, Klauseln in internationalen Verträgen zu unterzeichnen, die Datenschutzbehörden aus Europa an Kontrollen hindern. Das Urteil widerspricht damit dem aktuellen Vorhaben von EU-Ministerrat und Kommission, genau diese Kompetenzen in der neuen Datenschutzverordnung für die Kommission zu verankern. "Safe Harbour 2" wiederum wird nicht so einfach auszuverhandeln sein, wie es sich beide Seiten wünschten, denn der EuGH hat auch noch geurteilt, dass die "nationale Sicherheit" von Drittstaaten in keinem Vertrag mit der EU über die EU-Charta der Grundrechte zu stellen sei. Solche "NSA-Ausnahmeklauseln" aber sind in allen möglichen transatlantischen Verträgen enthalten.

Public Domain

In der Begründung, warum die Kommission das Prüfrecht der Datenschutzbehörden nicht verhindern kann, verweist der Spruch auf die Grundrechte-Charta.

Transatlantische Konsequenzen

Die EU-Kommission werde sich "in dem neuen Abkommen nicht damit begnügen können, amerikanischen Unternehmen einen Freibrief zu geben für den Fall, dass ein Geheimdienst (...) Zugriff auf diese Daten verlangt", schreibt der deutsche Rechtsprofessor Niko Härting dazu. Professor Daniel Solove (George Washington University) sieht ungemütliche Zeiten auf ein paar tausend US-Firmen zukommen, die bisher unter "Safe Harbour" Daten transferiert hatten.

Public Domain

Dieser Absatz ist bereits indirekt gegen NSA-Zugriffe à la PRISM auf die Daten gerichtet.

"Die EuGH-Entscheidung zieht ihnen den Boden unter den Füßen weg", schreibt Solove, zwar gebe es auch andere rechtliche Möglichkeiten für diese Datentransfers, doch so einfach wie zu Zeiten von "Safe Harbour" werde das in Zukunft nie mehr funktionieren. Unter "Safe Harbour" genügte eine einfache und einmalige Selbstzertifizierung der Firmen für alle Datentransfers, die Einhaltung dieser Regeln wurde jedoch in 15 Jahren niemals überprüft.

Alternativen zu "Safe Harbour"

Die von Solove angesprochenen Möglichkeiten für US-Unternehmen bestehen darin, mit einer nationalen Datenschutzbehörde eine Art Audit durchzuführen. Im Wesentlichen wird dabei überprüft, ob das konzerninterne Prozedere zum Schutz dieser Daten den EU-Regelungen entspricht. Diese "Binding Corporate Rules", die es multinationalen Konzernen mit einem einzigen Audit ermöglichen, Daten europäischer Bürger an allen Standorten konzernintern zu verarbeiten, werden bis jetzt nur von wenigen großen Firmen aus den USA genutzt.

Public Domain

Insgesamt sind gerade einmal 70 Firmen auf dieser Liste, etwa die Hälfte davon sind europäische Firmen, die Niederlassungen in den USA unterhalten.

Wie die Liste auf der Website der EU-Kommission zeigt, ist außer eBay kein einziger Internetkonzern darunter. In einer ersten Reaktion hieß es von Facebook, dass man von diesem Urteil nicht betroffen sei, weil man unter anderen EU-Regeln Daten in die USA zu transferiere. Neben den "Binding Corporate Rules", die Facebook nicht unterzeichnet hat, besteht die Möglichkeit, Modellvertragsklauseln der EU in die allgemeinen Geschäftsbedingungen aufzunehmen oder die "explizite" Zustimmung der Benutzer zu jeder Art von Datenverarbeitung einzeln einzuholen.

Was das Adjektiv "explizit" entscheidet

In Sachen Zustimmung sei aber der EU-Ansatz weit strikter als jener in den USA, denn in Europa bedürfe es einer "expliziten Zustimmung" zu jeder Datenverarbeitung, während die Bedingungen in den USA weit laxer seien, schreibt Solove. Da genüge eine einmalige und nur implizite Zustimmung für alle möglichen Datenverarbeitungen. Genau das ist einer der momentan umstrittenen Punkte in der neuen Datenschutzverordnung. Laut dem letzten aus Leaks bekannten Stand der Trilog-Gespräche zwischen Ministerrat, Parlament und EU-Kommission versucht der Rat, die Wortwahl in Richtung der US-Regeln abzuschwächen.

Public Domain

In 57 enthält eine explizite "Lex NSA" wieder unter Verweis auf die Grundrechte-Charta der EU, diesmal auf Artikel 7

Mit der Definition dieses Konsenses aber steht und fällt der Stellenwert der gesamten Datenschutzverordnung, ob nämlich der Benutzer mit einer Zustimmung sämtlichen weiteren Verarbeitungen pauschal zustimmt. Oder ob der Benutzer zum Beispiel explizit zustimmen muss, dass auch die biometrischen Daten auf seinem Foto zur Gesichtserkennung verarbeitet und zum Profil hinzugefügt werden. Diese Frage entscheidet ein einziges Adjektiv in der Formulierung des Rechtstexts.

Hürden, Bürden, "Arroganz der Macht"

All das sind noch die kleineren Hürden, denn ein dem EuGH besonders wichtiger Aspekt und auch Anlass der Klage von Max Schrems gegen die irische Datenschutzkommission wird von diesen Regelungen für Datentransfers nicht berührt: der Zugriff auf diese Daten im Rahmen der nationalen Sicherheit. Das hatte Justizkommissarin Vera Jourova schon am Dienstag als die schwierigste noch zu lösende Frage bezeichnet, was als ausgesprochener Euphemismus zu werten ist. In Angelegenheiten nationaler Sicherheit, darunter fällt die NSA-Spionage, haben die USA weder vor noch nach den Snowden'schen Enthüllungen je mit sich reden lassen.

Public Domain

Artikel 7 und 8 der EU-Charta, auf die sich die wichtigsten Begründungen des EuGH beziehen

"Die Kosten der NSA-Überwachung steigen und steigen. Wie viel soll den Firmen noch für übereifrige Geheimdienste aufgebürdet werden", fragt Daniel Solove, "ist es das wirklich wert?" Der Rechtsprofessor führt den Spruch des EuGH direkt auf das "dreiste Vorgehen" der NSA zurück. Denn Daten aus Europa nach Lust und Laune abzugreifen, nur weil man über die Möglichkeit dazu verfüge, sei in den Augen der Europäer nichts anderes als die "Arroganz der Macht".

Irland wird zur Falle

Als weitere Konsequenz werden Firmen wie Google, Apple, Facebook oder Microsoft nun erst recht den Druck auf die US-Regierung verstärken, denn auch im vermeintlich sicheren Hafen Irland, wo fast alle IT- und Internetkonzerne niedergelassen sind, sitzen sie plötzlich in der Falle. Über Irland werden sowohl die Umsätze des Geschäfts außerhalb der USA abgewickelt, wie auch die Daten etwa im Fall von Facebook in die USA transferiert werden. Die Inaktivität der lokalen Datenschutz- wie auch der Steuerbehörden und die "Safe Harbour"-Regelung sorgten für reibungslosen Ablauf des Geschäfts.

Public Domain

In diese lange Jahre gut geschmierte Maschinerie war durch die Steuerparadiesvorwürfe an Irland und die Rolle der Internetkonzerne in der NSA-Affäre zuletzt immer mehr Sand geraten, der EuGH hat nun eine volle Schaufel nachgelegt. Der irische "High Court" ist nun verpflichtet, bei seinem Urteil, ob Facebook angesichts von NSA-Spionageprogrammen wie PRISM persönliche Daten aus Europa in den USA verarbeiten darf, dem Spruch des EuGH zu folgen.

Es ist anzunehmen, dass es der "High Court" mit seinem Urteil nicht ganz so eilig haben wird wie der EuGH, der seinen Spruch bereits 14 Tage nach dem Gutachten des Generalanwalts in allen EU-Sprachen fertig hatte. Die Kommission ist nun in einer stärkeren Position in den Verhandlungen mit den USA zu "Safe Harbour 2". Nach dem fundamentalen Spruch des EuGH muss sie nun allerdings etwas schier Unmögliches auf transatlantischer Ebene aushandeln.