Safe Harbor: Deutsche Datenschutzbehörden wollen transatlantischen Datenverkehr teilweise kappen
Ab sofort wollen deutsche Datenschützer den transatlantischen Datenverkehr untersagen, wenn er sich nur auf das Safe-Harbor-Abkommen stützt. Rechtsinstrumente wie EU-Standverträge und die "informierte Einwilligung" sind noch eingeschränkt anwendbar.
Die deutschen Datenschützer wollen Datenübertragungen untersagen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind. Das geht aus einem Positionspapier zum Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) hervor, das die deutschen Datenschutzbehörden am gestrigen Montag nach längeren Beratungen veröffentlicht haben. Darin erinnern sie daran, dass sie laut EuGH "ungeachtet von Kommissions-Entscheidungen" beurteilen können, ob ein Datenschutzniveau in Drittstaaten angemessen ist.
Rechtswidrige Datenübermittlungen
"Die betroffenen Unternehmen müssen sich bewusst sein, dass Datenübermittlungen allein auf der Grundlage von Safe Harbor ab sofort rechtswidrig sind", stellt die Bundesdatenschutzbeauftragte Andrea Voßhoff klar: Die nordrhein-westfälische Datenschutzbeauftragte Helga Block erklärte, wenn sie von Datenexporten erfahre, die sich ausschließlich auf Safe Harbor stützten, werde sie eingreifen.
Außerdem sehen die Aufsichtsbehörden den Vorschlag der EU-Kommission "in Frage gestellt", die Übermittlung personenbezogener Daten über die EU-Standardvertragsklauseln oder verbindliche Unternehmensregeln (Binding Corporate Rules) zu absolvieren. Die Standardvertragsklauseln sind Vorgaben, die die EU-Kommission mit der US-Regierung ausgehandelt hat. Sie räumen dem europäischen Verbraucher mehr Rechte ein. Der Hamburgische Datenschutzbeauftragte Johannes Caspar erklärte, dass er erst dann eine Übermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden dies geklärt hätten.
Die Datenschutzbeauftragten wollen aber keine Datenübermittlungen in die USA auf der Grundlage von Datenexportverträgen und Unternehmensregelungen neu genehmigen. Also sollen die Unternehmen "unverzüglich" ihre Verfahren überprüfen. Die Datenschützer verweisen dabei unter anderem auf ihre Orientierungshilfe zu "Cloud Computing" von 2014 hin.
Alternative zu den Standardverträgen
Die britischen und irischen Aufsichtsbehörden neigen im Gegensatz zu den deutschen Kollegen dazu, der Position der EU-Kommission zu folgen und das EuGH-Urteil wortwörtlich auszulegen. Demnach habe das Gericht lediglich das Safe-Harbor-Abkommen gekippt, jedoch die alternativen Rechtsinstrumente der EU-Standardvertragsklauseln und der "informierten Einwilligung" unangetastet gelassen. Die dem Urteil zu Grunde liegenden Prinzipien, wie sie in der Europäischen Grundrechtecharta verankert sind, wollen sie auf andere Rechtsinstrumente deshalb nicht übertragen. Ende Januar wollen die europäischen Aufsichtsbehörden zu einer gemeinsamen Position kommen.
Alternativ zu den EU-Standardverträgen könnten Unternehmen den Anwender detailliert über die Verwendung seiner Daten informieren und ihn einwilligen lassen. Damit wäre die Datenübertragung zwar formal ordnungsgemäß, doch würden die Grundrechte des Anwenders damit noch nicht geschützt. Die Aufsichtsbehörden wollen sie deshalb nur unter "engen Bedingungen" zulassen, wobei Daten "nicht wiederholt, massenhaft oder routinemäßig" transferiert werden dürften.
Soziale Netzwerke wie Facebook können damit nicht mit dem Instrument der "informierten Einwilligung" arbeiten. Welche Ausnahmen unter Umständen möglich wären, hat das ULD in Schleswig-Holstein bereits angedeutet, wobei die Datenschutzbehörden auch den Export von Beschäftigtendaten "in Ausnahmefällen" zulassen wollen.
Forderungen an die Politik
Die Datenschutzaufsichtsbehörden fordern die Politik auf, tätig zu werden. Die EU-Kommission müsse nun in Verhandlungen mit den USA auf ausreichende Garantien drängen. Dazu gehörten gerichtlicher Rechtsschutz, materielle Datenschutzrechte und die Verhältnismäßigkeit zu beachten. "Die jetzt im Repräsentantenhaus verabschiedete 'Judicial Redress Bill' ist ein erster Schritt, reicht in der derzeitigen Fassung aber nicht aus", erklärte Vosshoff. Johannes Caspar betonte: "Wer unabhängig von den rechtlichen und politischen Konsequenzen des Urteils bleiben will, sollte insbesondere darüber nachdenken, personenbezogene Daten künftig nur auf Servern innerhalb der EU zu speichern."
Die Aufsichtsbehörden fordern den Gesetzgeber überdies auf, ihnen ein Klagerecht einzuräumen. Bislang können sie Verfahren nur verwaltungsrechtlich anstoßen, aber nicht vor ein Zivilgericht bringen. Damit könnten sie die Verfahren vermutlich schneller durchziehen. Mit einem Klagerecht hätten die Aufsichtsbehörden außerdem ähnliche Rechte wie Verbände, die jetzt ein Sammelklagerecht erhalten haben. (anw)
