NSA-Überwachungsskandal: Streit über Safe-Harbor-Regeln zum Datentransfer in die USA
Trotz der NSA-Affäre solle Europa das "Safe Harbor"-Abkommen, das die Weitergabe personenbezogener Informationen aus Mitgliedsstaaten an Unternehmen in den USA erlaubt, nicht aufkündigen, sondern verbessern, meinen Experten.
Experten haben sich bei einer Anhörung im NSA-Untersuchungsausschuss im EU-Parlament gegen einen raschen Abschied vom umstrittenen "Safe Harbor"-Abkommen ausgesprochen. Das Abkommen erlaubt und regelt die Weitergabe personenbezogener Informationen aus Mitgliedsstaaten an Unternehmen in den USA unter bestimmten Umständen. Die vor 13 Jahren fertig gestellte Übereinkunft erlaubt Firmen einen Datentransfer über den Atlantik, wenn sie dort ein angemessenes Schutzniveau bereit halten. Zu den anzuwenden Grundsätzen gehören etwa die der Transparenz, der Zweckmäßigkeit der Informationsverarbeitung, der Datensicherheit sowie der Korrigierbarkeit der erfassten Informationen. Zu den Teilnehmern gehören Konzerne wie Amazon, Facebook, Google, Hewlett-Packard, IBM oder Microsoft.
Der EU-Datenschutzbeauftragte Peter Hustinx empfahl nun auch im Lichte der massiven geheimdienstlichen Überwachung zumindest "alle Optionen offen zu halten". Der Vertrag sollte nicht gekündigt, sondern verbessert werden, meinte Hustinx zu den Abgeordneten des Untersuchungsausschusses der NSA-Affäre im EU-Parlament. Er räumte ein, dass mit dem angeblich sicheren Hafen bereits viel Schindluder getrieben und so Datenmissbrauch begünstigt worden sei. Entsprechende Berichte hätten aber etwa dazu geführt, dass die US-Handelsaufsicht Federal Trade Commission (FTC) Organisationen schon vor dem Beitritt zu dem Abkommen genauer auf ihren Schutzstatus hin überprüfe.
Generell sieht der Datenschützer weiter eine Berechtigung für Safe Harbor. Selbst wenn demnächst die geplante EU-Datenschutzreform verabschiedet würde und diese einen Transfer personenbezogener Informationen in Drittstaaten im Wirtschaftsbereich transparenter mache oder einschränke, könne ein solcher Datenaustausch in der global vernetzten Wirtschaft doch nicht ganz untersagt werden. Ein Großteil der Informationen werde folglich weiter in die USA gehen, aber etwa auch nach China oder Indien. Es sei daher wichtig, die dort erfolgenden Datenverarbeitungen klar zu regeln.
Die wenigen an der Anhörung teilnehmenden Volksvertreter wollten vor allem wissen, ob das bestehende Übereinkommen eine geheimdienstliche Massenüberwachung legitimiere. Hustinx schloss dies trotz einer Klausel, die einen Zugriff auf die übertragenen Daten zur Aufrechterhaltung der nationalen Sicherheit erlaube, aber aus. Das Verhältnismäßigkeitsprinzip müsse auf jeden Fall gewahrt bleiben.
Ein verdachtsunabhängiges Ausspähen umfangreicher Datenströme sei zudem nicht mit der EU-Grundrechtecharta und anderen internationalen Menschenrechtsstandards vereinbar, führte Hustinx aus. Wenn eine Überwachungsmaßnahme in einem Land darüber hinausgehe, dürften eigentlich keine personenbezogenen Daten dorthin übermittelt werden, plädierte Hustinx aber indirekt dann doch zumindest für ein Aussetzen von Safe Harbor im Lichte der Enthüllungen Edward Snowdens. Insgesamt müsse in den USA zunächst das Spionagerecht begrenzt und die Gerichtsbarkeit ausgedehnt werden.
Christopher Connolly, Datenschutzforscher beim australischen Beratungsunternehmen Galexia, hat den Glauben an die Reformmöglichkeit des "sicheren Hafens" auch noch nicht ganz aufgegeben. Nötig sei dafür aber ein gründlich überarbeitetes Rahmenwerk mit klareren Definitionen. Die Australier hatten 2008 und 2010 in zwei Reports dargelegt, dass der Vertrag bis dahin vor allem US-Datensündern einen Freibrief ausgestellt habe. So machten viele Firmen mit dem zugehörigen "Gütesiegel" völlig zu Unrecht Werbung. Noch im September habe Galexia 427 Einrichtungen ausgemacht, die sich fälschlich darauf bezogen hätten. Zudem würden die vorgesehenen Streitschlichtungsverfahren oft viel zu teuer angesetzt und schon für Firmentöchter gälten die Regeln nicht mehr automatisch.
Der Wissenschaftler widersprach insgesamt der Auffassung Hustinx, dass es in den vergangenen Jahren deutliche Verbesserungen beim Einhalten und Durchsetzen der Bestimmungen gegeben habe. Die FTC habe nur gegen sechs Firmen etwas unternommen und so gerade einmal den größten Druck nach einer Überarbeitung des Vertrags aus dem Kessel gelassen. Wirklich funktioniert habe der "Kompromiss zwischen zwei sehr unterschiedlichen Systemen zum Datenschutz" aber bislang nicht.
Die Präsidentin der französischen Datenschutzbehörde CNIL, Isabelle Falque-Pierrotin, betonte, dass Safe Harbor nur in Übereinstimmung mit den verbrieften Grundrechten der EU-Bürger weiter ausgestaltet werden könne. Zunächst sei aber eine "hieb- und stichfeste" politische, wirtschaftliche und gesellschaftliche Reaktion auf den NSA-Skandal nötig. Dieser sein in Frankreich wie eine Schockwelle empfunden worden. Alle Seiten seien sich in Paris einig, dass die USA eine rote Linie überschritten hätten.
Imke Sommer, die Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, erläuterte deren neuen Ansatz, vorerst keine neuen Genehmigungen für Firmen zum Übermitteln personenbezogener Informationen im Einklang mit der Übereinkunft zu erteilen. Es sei ein Verwaltungsverfahren angestrengt worden, um in jedem Einzelfall zu entscheiden, welche Transfers noch zu genehmigen oder auszusetzen seien. Im Prinzip hielt auch sie das Abkommen für sinnvoll. Die Kontrolle auf US-Seite müsse aber deutlich ausgebaut, die anlasslose Netzspionage beendet werden.
Die ebenfalls geladene EU-Justizkommissarin Viviane Reding erschien vor dem Untersuchungsausschuss nicht – worüber sich der Ausschussvorsitzende Juan Fernando Lopez Aguilar sehr enttäuscht zeigte. Zugleich setzte er seine Kollegen in Kenntnis, dass sich die Vorlage des Prüfberichts der Kommission zu Safe Harbor verzögere und wohl erst m Dezember damit zu rechnen sei. (jk)
