Datenschutztag: Kritik an Datentransfers in die USA

Die Luft für Firmen, die auf Basis der umkämpften transatlantischen "Safe-Harbor"-Übereinkunft personenbezogene Daten aus der EU in die USA transferieren, wird dünner. Die Legitimation des Abkommens werde "mehr und mehr angezweifelt", erklärte der Hamburgische Datenschutzbeauftragte Johannes Caspar am Mittwoch auf einer Konferenz zum Europäischen Datenschutztag in Berlin. Es gehe nun verstärkt darum, bei rechtswidrigen Datenübermittlungen "den Stöpsel" zu ziehen.

Es gebe keine faktischen Belege, dass US-Unternehmen dem europäischen Datenschutzniveau gerecht würden, sagte Caspar. Die hiesigen Datenschützer gingen jetzt "den Weg der Auseinandersetzung eher als noch vor zwei Jahren". Damals hatten die Datenschützer nach den ersten Enthüllungen Edward Snowdens angekündigt, vorerst zumindest keine neuen Safe-Harbor-Genehmigungen mehr erteilen zu wollen.

Inzwischen seien zwei konkrete Verwaltungsverfahren gegen US-Firmen in Berlin und Bremen eingeleitet, berichtete der Berliner Datenschutzbeauftragte Alexander Dix. Diese seien modellhaft, um möglicherweise weiteren Unternehmen einen Datenexport zu untersagen. Auch ohne das scharfe Schwert der Anordnungen sei in Berlin erreicht worden, dass zwei Firmen "von der Nutzung US-amerikanischer Cloud-Dienste Abstand genommen haben".

EU-Datenschutz nur in europäischen Unternehmen

Das EU-Datenschutzniveau könne derzeit nur bei Online-Angeboten europäischer Unternehmen gewährleistet werden, unterstrich Dix. Selbst wenn eine US-Firma in Europa Daten speichere, könnten US-Sicherheitsbehörden darauf zugreifen. Microsoft wehre sich zwar dagegen, der Fall könne sich aber bis zum Supreme Court ziehen.

Das zwischen 1998 und 2000 mit den USA ausgehandelte Übereinkommen erlaubt es, personenbezogene Daten aus EU-Mitgliedsstaaten an Unternehmen in den USA weiterzugeben, wenn diese dem Vertrag beitreten und die zugehörigen Datenschutzgrundsätze beachten. Zu den "Safe-Harbor"-Teilnehmern gehören inzwischen über 5000 Unternehmen, darunter Amazon, Facebook, Google, Hewlett-Packard, IBM und Microsoft. Diese können sich selbst bestätigen, einen zur EU "adäquaten" Datenschutzstandard einzuhalten, was zu Missbrauch führt. Überprüfungen durch die zuständige US-Handelsaufsicht FTC finden nur sporadisch statt, Sanktionen können kaum durchgesetzt werden.

Verhandlungen am Scheidepunkt

Das EU-Parlament forderte die EU-Kommission vor einem Jahr auf, das Abkommen zu kündigen. Diese hält es aber noch für möglich, dass die US-Seite entscheidend nachbessert. Verhandlungen darüber sollten bereits im Sommer beendet sein, würden nun aber bis zum Mai verlängert. Dix unterstrich: "Nach meiner Auffassung ist Safe Harbor tot, wenn nicht essenzielle Verbesserungen gefunden werden."

Die Bundesdatenschutzbeauftragte Andrea Voßhoff warnte vorab, dass sich die Gespräche mit Washington über den Vertrag an einem "Scheidepunkt" befänden. Die CDU-Rechtspolitikerin appellierte an die Unterhändler, die noch "bestehenden Chancen für datenschutzgerechte Lösungen zu ergreifen". Ein Scheitern könne erhebliche wirtschaftliche Folgen nach sich ziehen.

Caspar konstatierte, dass "Unternehmen alle Datensammler" seien und im Prinzip "eine Vorratsdatenspeicherung über einen langen Zeitraum" betrieben. Gegen eine geschäftliche Nutzung persönlicher Informationen sei prinzipiell nichts einzuwenden, dabei müssten aber Grundsätze der Zweckbestimmung, Transparenz und informationellen Selbstbestimmung der Nutzer eingehalten werden. An diesen Punkt seien die Kontrolleure oft nicht zufrieden, was sich etwa am Streit über die Datenschutzbestimmungen von Google oder Facebook zeige. Die geplante EU-Datenschutzverordnung, die das Bundesinnenministerium in diesem Jahr auf der Zielgeraden sieht, dürfe keine Schlupflöcher für US-Konzerne bieten oder gar zu einem "Dumping" der hiesigen Normen führen. (anw)