PRISM: Datenschützer stoppen neue Datentransfers von Firmen in die USA

Die deutschen Datenschutzbeauftragten erteilen angesichts der PRISM-Enthüllungen vorerst keine neuen Genehmigungen für Unternehmen zum Übermitteln personenbezogener Informationen ins Ausland, wie es das "Safe Harbor"-Abkommen ermöglicht.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Lesezeit: 5 Min.

Die Datenschutzbeauftragten des Bundes und der Länder erteilen angesichts der Enthüllungen über das US-Schnüffelprogramm PRISM vorerst keine neuen Genehmigungen für Firmen zum Übermitteln personenbezogener Informationen, wie sie im Rahmen des "Safe Harbor"-Abkommens möglich sind. Diese Entscheidung beziehe sich etwa auch auf die Nutzung bestimmter Cloud-Dienste, unterstreicht die Konferenz der Datenschützer in einer Mitteilung. Zudem prüfen die Aufsichtsbehörden nach eigenen Angaben, ob sämtliche einschlägigen Datentransfers in angeschlossene Drittstaaten wie die USA auf Grundlage des Vertrags und seiner Standardklauseln auszusetzen sind.

Das zwischen 1998 und 2000 mit den USA ausgehandelte Übereinkommen erlaubt die Weitergabe personenbezogenen Daten aus EU-Mitgliedsstaaten an Unternehmen in den USA, wenn diese dem Vertrag beitreten und die zugehörigen Datenschutzgrundsätze beachten. Zu den "Safe Harbor"-Teilnehmern gehören mittlerweile über 1000 Unternehmen, darunter Amazon, Facebook, Google, Hewlett-Packard, IBM und Microsoft. Ähnliche Vereinbarungen gelten auch mit Andorra, Argentinien, Australien, den Färöer-Inseln, Guernsey, Israel, der Isle of Man, Jersey, Kanada, Neuseeland, der Schweiz und Uruguay.

Deutsche Datenschützer sehen die Übereinkunft schon seit Längerem als "eine Art Freibrief" für ausländische Unternehmen an. 2010 kritisierte die Konferenz der Datenschutzbeauftragten das Abkommen als unzureichend. Jetzt erinnern die Datenschüzter daran, dass die nationalen Aufsichtsbehörden die Datenübermittlung unter bestimmten Voraussetzungen aussetzen könnten. Dies sei laut Maßgaben der EU-Kommission etwa der Fall, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Grundsätze des "sicheren Hafens" verletzt werden.

Angesichts der Berichte "über die umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste und insbesondere der US-amerikanischen National Security Agency (NSA)" sehen die Datenschützer diese Prinzipien "mit hoher Wahrscheinlichkeit" als beschädigt an. Es sei davon auszugehen, dass Spionagebehörden von Drittstaaten "ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden".

Zwar enthält das Abkommen den Datenschützern zufolge eine Klausel, die die Geltung der Grundsätze begrenze, "sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen". Um das Ziel eines "wirksamen Schutzes der Privatsphäre" zu erreichen, solle von diesen Eingriffsbefugnissen aber nur "im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden". Ein umfassender und anlassloser Zugriff auf personenbezogene Informationen könne nicht gerechtfertigt werden.

Die Konferenz betont weiter, dass Datenimporteure zusichern müssten, nicht in Kenntnis über Rechtsvorschriften zu sein, die die Garantien aus den Vertragsklauseln "in gravierender Weise" beeinträchtigten. Eine entsprechende "Generalermächtigung" zum "routinemäßigen" Datenzugriff scheine in den USA aber zu bestehen. Die Kontrolleure fordern die Bundesregierung daher auf, plausibel darzulegen, dass dem nicht so sei und die genannten Schutzprinzipien beim Vollzug des Vertrags doch gewahrt würden. Erst danach könnten Anträge auf Datenübermittlungen wieder geprüft werden.

An die Kommission appelliert die Konferenz, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit bis auf Weiteres zu suspendieren. Justizkommissarin Viviane Reding hatte vorige Woche angekündigt, die in die Jahre gekommene Übereinkunft bis zum Jahresende neu bewerten zu wollen. Dieser Ansatz reicht den Datenschützern nicht aus.

Auch Bundesjustizministerin Sabine Leutheusser-Schnarrenberger stellte das Abkommen jüngst im Zuge der Schnüffelaffäre in Frage. Die Liberale verbreitete stattdessen die Idee, eine internationale "digitale Grundrechtecharta" auf UN-Ebene auszuhandeln. Dieser Forderung schloss sich neben Verbraucherministerin Ilse Aigner und Innenressortchef Hans-Peter Friedrich (beide CSU) mittlerweile auch Kanzlerin Angela Merkel (CDU) an. Konkret soll ein Zusatzprotokoll zum UN-Pakt über bürgerliche und politische Rechte von 1966 neue Regelungen zum Schutz der Privatsphäre festlegen.

Gemeinsam mit Außenminister Guido Westerwelle (FDP) hat Leutheusser-Schnarrenberger jetzt einen Brief an ihre Amtskollegen im EU-Rat geschrieben, um für den Datenschutzvertrag zu werben und damit den Schutz der Privatsphäre im digitalen Zeitalter zu sichern. Es gehe der Bundesregierung darum, "die jetzige Diskussion zu nutzen, um eine Initiative zur Ausformulierung der unter den heutigen Bedingungen unabweislichen Privatfreiheitsrechten zu ergreifen", zitiert Die Welt aus dem Schreiben. Nun solle eine "Vertragsstaatenkonferenz" der 167 Länder einberufen werden, die den bisherigen UN-Pakt ratifiziert haben. Dänemark, die Niederlande und Ungarn hätten Deutschland bereits Unterstützung signalisiert.

Bundesfinanzminister Wolfgang Schäuble (CDU) hält die Aufregung über PRISM und den britischen Ableger Tempora derweil für übertrieben. "Meine europäischen Kollegen regen sich jedenfalls nicht darüber auf", sagte der frühere Innenminister dem Schwarzwälder Boten. Er sei immer der Meinung gewesen, dass weltweit erfolgende Kommunikation von Geheimdiensten im Rahmen rechtsstaatlicher Verfahren überprüft werden dürfe. Sonst könne man internationalen Terrornetzwerken nicht auf die Spur kommen. (jk)