INTERNET WORLD Business Logo Abo
Schloss auf Platine
Security 01.02.2016
Security 01.02.2016

EuGH-Urteil jetzt gültig Safe Harbor: Was kommt nach der Amnestie?

Fotolia.com/LuckylightSchloss
Fotolia.com/LuckylightSchloss

Seit heute darf Safe Harbor nicht mehr als Grundlage für Datenübermittlungen in die USA verwendet werden. An einem neuen Abkommen wird zwar gearbeitet, doch zwei anstehende Entscheidungen in den USA erschweren die Lage.

Unterschiedlicher könnten die Mentalitäten, wenn es um Datenschutz geht, kaum sein. In der EU steht das Grundrecht auf informationelle Selbstbestimmung traditionell hoch in der Gunst, in den USA geht nichts über die nationale Sicherheit. So hat man im eigenen Land schon von vielen Digital-Unternehmen die Herausgabe personenbezogener User-Daten erzwungen. Aufgrund dieser Gefährdung personenbezogener Daten von EU-Bürgern in den USA kippte der Europäische Gerichtshof (EuGH) in Luxemburg Anfang Oktober das Safe Harbor-Ankommen, das seit 2000 den Datentransfer zwischen den Kontinenten regelte.

Eine Amnestie, die Unternehmen, die noch auf Safe Harbor-Basis Daten über den Atlantik schicken, vor Ermittlungen verschont, ist mit dem heutigen Tag beendet. Jetzt ist der der Transfer, solange er sich an die alte Regelung hält, illegal. Doch was kommt nun? Im Zeitalter von Digitalisierung, Web 4.0. und Internet of Everything ist es nicht möglich, auf die Zusammenarbeit mit US-amerikanischen Unternehmen zu verzichten.

Anforderungen der EU an das neue Abkommen sind hoch

Kurz nach dem EuGH-Urteil begann man, an einer Nachfolgeregelung zu arbeiten. Wie weit die Verhandlungen zu einem "Safe Harbor 2.0" vorangeschritten sind, will die EU-Kommission dem Parlament im Laufe des heutigen Tages mitteilen. Anforderungen an die neue Übereinkunft sind ein ausreichender Schutz der persönlichen Daten europäischer Bürger in den USA. Problematisch ist das besonders, weil in den USA Behörden von Unternehmen nahezu alle Daten fordern können: Die nationale Sicherheit steht über dem europäischen Grundrecht auf informationelle Selbstbestimmung.

Grob sollte das "Umbrella Agreement" schon Ende Januar stehen, Anfang Februar sollten finale Verhandlungen stattfinden. Daraus wird jetzt wohl nichts. Denn zwei in den USA anstehende Entscheidungen legen einem neuen Abkommen wie es aussieht noch mehr Steine in den Weg als da mit den unterschiedlichen Gewichtungen von Sicherheit und Freiheit ohnehin schon liegen.

Die nationalen Interessen der USA gehen vor

Der US-Senat hat überraschend eine Abstimmung zum "Judicial Redress Act", Teil des Umbrella Agreements, verschoben. Das Repräsentantenhaus hatte dem Act noch im Oktober zugestimmt. Das Gesetz sollte Bürgern der EU die Möglichkeit geben, bei Datenschutzverletzungen direkt in den USA zu klagen. Allerdings ist eine Gleichberechtigung von EU- und US-Bürgern bei der informationellen Selbstbestimmung nur auf den ersten Blick der Fall, da der Judicial Redress Act viele Klagevoraussetzungen und -einschränkungen erhält. Zudem wurde der Text in der vergangenen Woche noch verschärft. Der neue Entwurf sieht vor, dass die Bestimmungen der EU-Staaten die nationalen Sicherheitsinteressen der USA nicht wesentlich behindern dürfen. Im Endeffekt ist dieser Passus genau der Grund, weshalb der EuGH Safe Harbor gekippt hat. Denn nach EU-Recht dürfen die nationalen Interessen der USA nicht über die Grundrechte der EU-Bürger - und das Recht auf informationelle Selbstbestimmung ist eines davon - gestellt werden.

Mit der Verschiebung ist ein neues Abkommen, das Safe Harbor ablöst, zum eigentlich notwendigen und geplanten Termin - jetzt - nicht mehr möglich. Wenn die USA auf die Forderungen der EU nach einem an europäisches Recht angepasstes Schutzniveau der persönlichen Informationen nicht eingehen, steht ein neues Abkommen ohnehin in den Sternen.

Microsoft will keine Daten von EU-Servern herausgeben

Eine zweite Entscheidung erschwert ein neues Übereinkommen zusätzlich. Microsoft klagt - mittlerweile in dritter Instanz - gegen die Herausgabe seiner User-Daten an die US-Regierung. Das Delikate an der Sache: Es geht nicht etwa um die Weitergabe der Daten, die sich ohnehin schon in den USA befinden - gegen die andere US-Companys vergebens vor den Geheimgerichten vorgehen wollten - sondern um Daten auf europäischen Servern. Im vorliegenden Fall sind es Server in Irland. Basis der Regierung ist der sogenannte "Electronic Communications Privacy Act". Wenn das Gericht den Vollzug der Regierung bestätigen sollte, wäre eine Neuauflage von Safe Harbor sinnlos, so der BVDW. Denn dann wäre nicht einmal das Datenhosting außerhalb der USA vor dem Zugriff der US-Behörden geschützt.

"Sollte beispielsweise das Berufungsgericht im Microsoft-Fall zugunsten der US-Behörden entscheiden, käme dies quasi einem verordneten Rechtsbruch gleich. US-Unternehmen müssten sich dann entscheiden, ob sie lieber gegen US- oder EU-Recht verstoßen wollen, wenn sie einem entsprechenden Durchsuchungsbefehl Folge leisten", sagt BVDW-Vizepräsident Thomas Duhr von IP Deutschland. Man müsse Unternehmen im Grunde davon abraten, bei der aktuellen Lage, auf Datendienstleistungen US-amerikanischer Unternehmen zu setzen.

Überblick

Im Oktober hatte der EuGH in Luxemburg das Safe Harbor-Abkommen, das europäische Unternehmen als Grundlage der Datenübermittlung in die USA nutzten, für ungültig erklärt. Personenbezogene Daten europäischer Bürger seien nicht ausreichend vor dem Zugriff durch US-Behörden geschützt, so das Gericht.

Ausgangspunkt des Streits war die Klage des Österreichers Max Schrems, der den mangelnden Datenschutz bei Facebook kritisierte. US-Unternehmen seien verpflichtet, in Europa geltende Schutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit beziehungsweise des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig können EU-Bürger nicht die Löschung ihrer Daten zu verlangen, so der EuGH.

Kurz nach dem Urteil des EuGH einigten sich EU-Kommission und US-Regierung darauf, einen Nachfolger, das "Umbrella Agreement", auf den Weg bringen zu wollen. Eigentlich sollten Details des Übereinkommens geheim bleiben. Ein geleakter Entwurf wurde von Datenschützern scharf kritisiert. Der FREE Group zufolge sei demnach eine Weitergabe von Daten an US-Strafverfolgungsbehörden in großem Umfang zulässig. Auch eine Weitergabe an Geheimdienste von Drittstaaten ist nach den damals öffentlich gewordenen Details offenbar möglich.

Das könnte Sie auch interessieren