EU-Datenschützer setzen Ultimatum für Safe Harbor 2.0

Die europäischen Datenschutzbeauftragten in der sogenannten Artikel-29-Arbeitsgruppe zeigen sich in einer ersten gemeinsamen Stellungnahme zum Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) einig: Die EU-Mitgliedstaaten und die europäischen Institutionen müssten "dringend" gemeinsam mit der US-Regierung "rechtliche und technische Lösungen" finden, damit bei den transatlantischen Datenübertragungen "die Grundrechte respektiert" werden.

Steht bis Ende Januar keine "angemessene Lösung" zur Verfügung, wollen die Aufsichtsbehörden "alle notwendigen und angemessenen Maßnahmen" ergreifen – möglicherweise in einer konzertierten Aktion. Ein neues Safe-Harbor-Abkommen werde aber wohl nur "Teil der Lösung" sein. So betonen die Datenschützer, dass "klare und verbindliche Mechanismen" sowie durchgreifende Kontrollbefugnisse und Rechtsbehelfe notwendig seien. Ohne politische Reformen in den USA wird dies kaum zu realisieren sein.

Das Safe-Harbor-Abkommen

15 Jahre lang war das Safe-Harbor-Abkommen eine der meistgenutzten rechtlichen Grundlagen für den Austausch personenbezogener Daten zwischen der EU und den USA. Weil die aber keinen hinreichenden Datenschutz garantieren, erklärte der Europäische Gerichtshof das Abkommen im Oktober 2015 für ungültig.

• EuGH kippt Safe Harbor
• Alternativen zu Safe Harbor
• Kommentar: Wir brauchen Alternativen!
• EU-Kommission sieht nach EuGH-Urteil keinen Grund, Datenflüsse zu stoppen
• Safe Harbor gekippt: US-Regierung ist "zutiefst enttäuscht" von EuGH-Urteil
• Safe Harbor gekippt: Europa diskutiert die Folgen des EuGH-Urteils
• "Wer nicht ausspioniert werden will, sollte Facebook verlassen"
• EuGH verhandelt Facebooks PRISM-Verstrickung

Massenüberwachung als zentrales Problem

Des Weiteren erinnern die Datenschützer daran, dass das Hauptproblem die "massive und unterschiedslose Überwachung" sei, die mit dem europäischen Recht unvereinbar sei. Dabei beziehen sie sich ausdrücklich nicht auf die USA, sondern argumentieren sehr grundsätzlich. Diese Äußerung geht offenbar auf eine Mehrheitsentscheidung zurück, da die britische Datenschutzbehörde die Massenüberwachung wohl mit Blick auf die Aktivitäten des heimischen Geheimdiensts GCHQ bislang nicht thematisieren wollte.

Damit jedoch endet die Einigkeit unter den Aufsichtsbehörden: Zur Frage, ob das Safe-Harbor-Urteil auch andere Rechtsinstrumente betrifft, gibt bislang keine Einigung. Die meisten wollten angesichts der bedeutsamen Wirtschaftsströme "kein Chaos erzeugen", so ein Beobachter gegenüber heise online. Nur wenige Aufsichtsbehörden wollten daher im Moment wie die schleswig-holsteinische auf die alternativen Instrumente der freiwilligen Einwilligung, der EU-Standardvertragsklauseln und der Corporate Binding Rules verzichten.

Der österreichische Jurist Max Schrems, der mit seiner Klage gegen die irische Datenschutz-Kontrollbehörde das Abkommen vor dem EuGH zu Fall gebracht hatte, hat sich inzwischen in einer eigenen Analyse des Urteils der Interpretation von Schleswig-Holstein weitgehend angeschlossen.

Eine gemeinsame Entscheidung darüber wurde nun bis Ende Januar vertagt. Bis dahin dürfen Unternehmen die EU-Standardvertragsklauseln und die Corporate Binding Rules verwenden. Gleichwohl behielten sich die Behörden vor, schon jetzt bestimmte Fälle etwa auf Beschwerdebasis zu untersuchen und Maßnahmen zum Schutz Betroffener zu verhängen.

Einheitliche Position Europas gefordert

Die Aufsichtsbehörden kündigten an, in dreieinhalb Monaten zu einer "belastbaren gemeinsamen Position" kommen zu wollen. Damit bekennen sie sich dazu, koordiniert und einheitlich vorgehen zu wollen. Sie wollen also einer wesentlichen Forderung von US-Verbänden entgegenkommen, die in einem offenen Brandbrief an EU-Kommissionspräsident Jean-Claude Juncker eine "harmonisierte Umsetzung" des Safe-Harbor-Urteils des Europäischen Gerichtshofs gefordert hatten. Außerdem hatten die Verbände eine "ausreichend Übergangsperiode" für Unternehmen gefordert, sich den neuen Anforderungen anzupassen.

Direkt betroffen sind die rund 4.500 US-Unternehmen, die sich im Safe-Harbor-Verfahren zu einem "angemessenen" Datenschutzniveau bekannt hatten. Indirekt betroffen sind jedoch auch unzählige europäische Unternehmen und Bürger, die die Dienste dieser Unternehmen bisher genutzt haben. Eric Schmidt, Vorsitzender der neuen Firma Alphabet, zu der Google gehört, äußerte sich kürzlich sehr besorgt, wonach das Safe-Harbor-Urteil das globale Internet, "eine der größten Errungenschaften der Menschheit", zu zerstören drohe. Dies sei dann der Fall, wenn verschiedene Aufsichtsbehörden zu unterschiedlichen Vorgaben für die US-Unternehmen kämen. (mho)