Safe-Harbor-Urteil: Gibt es überhaupt noch Alternativen für den Datentransfer in die USA?
Juristen und Datenschützer streiten über die Folgen des EuGH-Urteils zur Übermittlung persönlicher Daten europäischer Internet-Nutzer in die Vereinigten Staaten und die sich daraus ergebenden Folgen.
Das Urteil des EuGH in Sachen Safe Harbor zur Übermittlung persönlicher Daten europäischer Internet-Nutzer in die Vereinigten Staaten liegt inzwischen auch im deutschsprachigen Volltext vor. Nun streiten Juristen und Datenschützer um die Auslegung der Entscheidung und die sich daraus ergebenden Folgen.
Im Mittelpunkt der Diskussion steht vor allem die Frage, ob es nach dem EuGH-Urteil überhaupt noch rechtmäßige Möglichkeiten für einen Transfer von personenbezogenen Daten aus Europa in die Vereinigten Staaten als Ausweichmöglichkeit zu Safe Harbor gibt.
Zulässige Alternativen?
Diskutiert wird unter anderen, ob nach den Ausführungen des EuGH die bisherigen Alternativen zu Safe Harbor noch zulässig sind. Dass dem nicht so ist, diese Ansicht vertritt etwa der ehemalige Bundesdatenschutzbeauftragte Peter Schaar, aber auch die Bürgerrechtlicher der Digitalen Gesellschaft. Danach würden auch die Möglichkeiten der EU-Vertragsklauseln und die "Binding Corperate Rules" unter die Entscheidung des Gerichts fallen und könnten somit nicht mehr verwendet werden.
Laut Schaar wäre aber auch eine Datenübermittlung auf Basis einer ausdrücklichen Einwilligung der Betroffenen nunmehr unzulässig. Die Zustimmung könne nur dann eine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn dem Nutzer die Tragweite seiner Einwilligung bewusst sei. Eine "pauschale Einwilligung in umfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten" wäre deshalb unwirksam.
Ähnlich sieht dies auch die Digitale Gesellschaft. Die Bürgerrechtler fordern substanzielle Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.
Kein Datentransfer
Da aber kaum ein Datentransfer im Netz ohne eine potentielle Zugriffsmöglichkeit durch in- oder ausländische Geheimdienste geschieht, hätte diese Ansicht letztlich zur Folge, dass wohl gar kein Datentransfer mehr möglich wäre. Um diesen Konsequenzen auszuweichen, fordert Peter Schaar, im Rahmen einer kurzfristigen Lösung dafür zu sorgen, dass anvertrauten Daten nicht weiter Gegenstand einer Massenüberwachung sein können. Maßnahmen hierzu seien "Kryptographie, Standortentscheidungen für Server und anderer Netzkomponenten und ggf. der Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen".
Das sieht allerdings im Grundsatz nicht nur die EU-Kommission ganz anders. Im normalen Geschäftsleben könne der Datenaustausch mit den USA fortgesetzt werden, betonte Vizepräsident Frans Timmermans. Die Union sei "in der Lage, Safe Harbor vorläufig durch andere einschlägige Regelungen zu ersetzen, um Daten zu sichern".
Diese Ansicht teilt die Kommission mit diversen Juristen, die eine Datenübermittlung auf Basis von Einwilligung, Standardverträge oder Corporate Rules weiter für zulässig halten.
Rechtssicherheit
Für etwas mehr Rechtssicherheit, wie es in Sachen Datenübertragung in die USA weitergehen kann, könnten klare Vorgaben der Datenschutzbehörden sorgen. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und damit zuständig unter anderem für Google und Facebook, hält die Entscheidung des EuGH in einer ersten Einschätzung für nicht weniger als "historisch im Sinne unserer europäischen Werteordnung". Sie markiere einen Wendepunkt im Datenverkehr zwischen der EU und den USA. Es sei durch die Behörden zu prüfen, ob und inwieweit der Datentransfers in die USA auszusetzen sei. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werde. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren.
Dies bestätigt auch die Datenschutz-Behörde aus Nordrhein-Westfalen, wo man prüft, ob die bisherigen Regeln einen Datentransfer in die USA noch rechtfertigen können. (jk)