Ende der Schonfrist
Ab Februar drohen Unternehmen Sanktionen, die persönliche Daten von EU-Bürgern illegal den USA ausliefern
Noch gibt es kein neues Abkommen für den Datentransfer in die USA. Die Wirtschaft klagt und drängt. Datenschützer fordern jedoch mehr als kosmetische Korrekturen. Die Rechte der EU-Bürger gingen vor.
Der amerikanische Datenspeicherdienst Dropbox müsste ab kommender Woche Post von europäischen Datenschutzbehörden bekommen, sofern er seine AGBs nicht noch in letzter Minute ändert. Darin versichert er freundlichst, sich an die Safe-HarborVereinbarungen für den Datenverkehr zwischen den USA und der EU zu halten. Dumm nur, dass es diesen »sicheren Hafen« seit Oktober nicht mehr gibt. Vor drei Monaten erklärte der Europäische Gerichtshof (EuGH) das Abkommen für nichtig. Denn in den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt. Zudem könnten Europäer ihre Rechte dort nicht geltend machen. Das Urteil betrifft alle Firmen, die personenbezogene Daten in die USA schicken – Großkonzerne genauso wie kleine Unternehmen, Blogbetreiber oder Vereine.
Am 31. Januar läuft die Schonfrist aus, die von Datenschutzbehörden der EU-Mitgliedstaaten gesetzt wurde, um die Datenübermittlung auf eine sichere Grundlage zu stellen. Danach müssen Unternehmen mit Bußgeldern in sechsstelliger Höhe bis hin zur Untersagung von Datenströmen rechnen, wenn sie ohne Rechtsänderung personenbezogene Daten in die USA transferieren.
Doch ob die Datenschützer wirklich ernst machen mit ihrer Ankündigung von »koordinierten Durchsetzungsmaßnahmen« ist genauso unklar wie der Verhandlungsstand über ein neues Abkommen. Weder sind sich die europäischen Aufsichtsbehörden einig, noch lag bis Freitag ein belastbarer Vertragsentwurf auf dem Tisch. Europäische Kommission und USA verhandeln seit Wochen hinter verschlossenen Türen.
Für die Datenschutzbeauftragten in Deutschland ist klar, dass »Safe Harbor« als Rechtsgrundlage passé ist. Auch hinter die Ausweichoptionen für Unternehmen, sogenannte Binding Corporate Rules und Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Länder außerhalb der EU, haben sie im Lichte des EuGH-Urteils ein großes Fragezeichen gesetzt. Sie sollen mindestens überprüft werden. Corporate Binding Rules sind Verhaltensregeln für den Datenschutz, die sich multinationale Konzerne selbst geben und die, so die Kritik, weder kontrollierbar, noch nutzerfreundlich, noch einklagbar sind. Beide Modelle lösen aus Sicht von Datenschützern die Probleme nicht.
Bürgerrechtsorganisationen sind in Sorge, dass es aus Rücksicht auf europäische Wirtschaftsinteressen bei lediglich oberflächlichen Änderungen bleiben könnte. »Solange anlasslos spioniert wird und solange EU-Bürger ihre Rechte gegenüber US-Unternehmen nicht geltend machen können, ist ein Safe Harbor 2.0 genauso wertlos wie sein Vorgänger«, sagt Friedemann Ebelt von der Organisation Digitalcourage. Der in Bielefeld ansässige Datenschutzverein hat diese Woche einen Brief an die drei deutschen Verhandlungsführer, Justizminister Heiko Maas, Innenminister Thomas de Maizière sowie EU-Digitalisierungskommissar Günther Oettinger, abgeschickt. Die Bundesregierung vertritt bislang den Standpunkt, dass eine Übermittlung von personenbezogenen Daten in die USA auf der Grundlage von EU-Standardverträgen sowie einer Einwilligung des Betroffenen weiterhin zulässig ist.
Aus Sicht der Datenschützer ist es mit ein paar kosmetischen Korrekturen jedoch nicht getan. Sie berufen sich auf das in der EU-Charta garantierte Grundrecht auf Privatsphäre und fordern Reformen auf beiden Seiten des Atlantiks. Denn anlasslose Massenüberwachung gibt es nicht nur im Land von Edward Snowden, sondern auch in der EU, verweist Friedemann Ebelt auf die Speicherung von Vorrats- und Fluggastdaten. Der Appell ist zugleich eine Reaktion auf den Brandbrief von vier großen amerikanischen und europäischen Branchenverbänden, die sich zuvor an US-Präsident Barack Obama, EU-Spitzenvertreter und die EU-Staats- und Regierungschefs gewandt hatten. Sie drängen auf einen schnellen Abschluss eines neuen Abkommens und beklagen die enorme »Rechtsunsicherheit«, die den Geschäftsverkehr zwischen Unternehmen aus den USA und der EU untergrabe. »Europa darf keine Dateninsel werden«, warnt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Der nationale Elektronikverband hat sich unter dem Dach von Digital Europe organisiert, das den Brandbrief mit gezeichnet hat. Wie, fragt Dehmel, sollten deutsche Unternehmen mit Niederlassungen und Kunden in aller Welt zusammenarbeiten, wenn sie kaum noch Daten austauschen dürfen?
Dabei wollen auch die Kritiker Europa keineswegs abschotten. Verschiedene Alternativen sind in der Welt. So hat das Netzwerk Datenschutzexpertise um die Datenschutzexperten Thilo Weichert und Karin Schuler einen Export-Import-Vertrag mit den USA vorgeschlagen. Diesen Vertrag können »Datenexporteur« und »Datenimporteur« abschließen. Maßgeblich wäre das für den Exporteur geltende Recht. Auch Unternehmen zeigen, was möglich ist. Microsofts Chefjustiziar Brad Smith wirbt für die Lösung, dass sich die Rechte von Personen mit ihren Daten mit bewegen. So müssten europäische Datenschutzstandards für sie automatisch auch in den USA gelten.
Die meisten Unternehmen warten jedoch ab oder hoffen, dass die Klauseln Bestand haben, mit denen sie »Safe Harbor« umgehen. Nur einige wenige haben Konsequenzen gezogen und verlagern beispielsweise Rechenzentren nach Europa. Microsoft hat schon vor dem Urteil des Gerichtshofs gehandelt und lässt seine Daten von der deutschen Telekom verwalten, die nur der europäischen Gesetzgebung unterliegt. Seit Längerem liefert sich der Softwareriese einen Rechtsstreit mit den USA, weil er sich weigert, amerikanischen Strafverfolgungsbehörden Zugriff auf EMails eines Kunden zu geben, die in einem irischen Rechenzentrum gespeichert sind. Beide Seiten haben angekündigt, wenn nötig bis vor den Supreme Court zu ziehen.
Die EU-Datenschutzbeauftragten haben bislang keine gemeinsame Linie, was sie aus dem EuGH-Urteil folgern. Die sogenannte Artikel-29Gruppe will am Dienstag und Mittwoch in Brüssel europaweit einheitliche Standards für die Umsetzung beschließen. Auch zu den Ersatzklauseln will die Gruppe Vorschläge machen. Wie weit sie dabei auf Wünsche der Wirtschaft nach einer Verlängerung des Moratoriums eingeht, ist offen und hängt letztlich auch vom Kurs der EU-Kommission ab. Vor dem Treffen berieten die deutschen Datenschützer gerade zwei Tage lang über ihr Vorgehen nach Ablauf der Frist. Man will zunächst die Beschlüsse der Artikel-29-Gruppe abwarten. Eine nochmalige Schonfrist für Unternehmen wird hier eher kritisch gesehen.