Datenschutz: Keine Amnestie für Safe Harbor mehr
Seit Mitternacht dürfen die Safe-Harbor-Regeln für Datenübertragungen in die USA nicht mehr angewandt werden. US-Regierung und EU-Kommission wollen eine neue Rechtsgrundlage schaffen. Doch der US-Senat hat die Sache erschwert.
Darf ich es übertragen oder darf ich es nicht?
(Bild: Engelbert Reineke/Bundesarchiv)
Um Mitternacht ist eine Amnestiefrist abgelaufen, die es ermöglichte, personenbezogene Daten straffrei aus der EU in die USA zu übermitteln, obwohl der Europäische Gerichtshof (EuGH) die rechtliche Grundlage "Safe Harbor" aufgehoben hat. US-Regierung und EU-Kommission wollen durch ein Rahmenabkommen eine neue, weitreichendere Rechtsgrundlage schaffen. Im Laufe des Montag wird die EU-Kommission das Europäische Parlament über den Stand der Dinge unterrichten.
Am Dienstag tritt die Artikel-29-Arbeitsgruppe zusammen. Dieses Gremium setzt sich aus den Datenschutzbehörden der EU-Mitgliedsstaaten, Vertretern der EU-Kommission und dem europäischen Datenschutzbeauftragten zusammen. Die Art-29-Arbeitsgruppe war es auch, die die Amnestie bis 31. Januar beschlossen hatte. Daher wurde seit dem EuGH-Urteil zu Safe Harbor nicht gegen Unternehmen vorgegangen, die rechtswidrig personenbezogene Daten in die USA übertragen haben.
Auskunft am Mittwoch
Und für Mittwoch ist eine Pressekonferenz der EU-Kommission angesetzt. Dann werden offizielle Informationen zum Stand der Verhandlungen erwartet. Noch vor Kurzem waren Funktionäre auf beiden Seiten des Atlantik optimistisch gewesen, bis zum Ablauf der Frist eine neue Übereinkunft präsentieren zu können. Dann hätte die EU-Kommission eine neue Safe-Harbor-Entscheidung erlassen.
Diese wäre aber nur dann legal, wenn die USA EU-Bürgern ein angemessenes Datenschutzniveau gewährleisten. Das ist unrealistisch. Dennoch wollte sich die EU-Kommission mit dem Judicial Redress Act of 2015 zufrieden geben. Diese Gesetzesvorlage wurde im Oktober vom US-Repräsentantenhaus verabschiedet, die Zustimmung des US-Senats steht noch aus.
Feigenblatt Judicial Redress Act
Auf den ersten Blick würde das Gesetz EU-Bürgern ermöglichen, vor US-Gerichten gegen ausgewählte US-Behörden vorzugehen, wenn diese das US-Datenschutzgesetz Privacy Act verletzen. Damit könnte ein gewisser Datenschutz "gewährleistet" werden. Allerdings beinhaltet der Judicial Redress Act so viele Voraussetzungen und Ausnahmen, dass weder von einer umfassenden Klagelegitimation noch von gleichen Rechten vor Gericht die Rede sein kann.
Lesen Sie dazu die Analyse des Judicial Redress Act:
Darüber hinaus hat der Justizausschuss des US-Senats den Gesetztext vergangene Woche noch verschärft. In der neuen Fassung (PDF) wird vorgeschrieben, dass die Bestimmungen der EU-Staaten über den kommerziellen Datentransfer in die USA "die nationalen Sicherheitsinteressen der USA nicht wesentlich behindern" dürfen ("not materially impede the national security interests of the United States").
Das trifft aber genau den Kern des EuGH-Urteil, mit dem Safe Harbor im Oktober aufgehoben wurde: Nach europäischem Recht ist es inakzeptabel, die nationalen Interessen der USA über die Grundrechte von EU-Bürgern zu stellen. Der Senat macht es der EU-Kommission damit eigentlich unmöglich, selbst mit Zudrücken aller Hühneraugen eine neue Safe-Harbor-Entscheidung zu erlassen.
US-Gesetz ändert nichts
Auch Rechtsprofessor Felix Wu von der Cardozo-Universität in New York hält den Judicial Redress Act für keine Lösung: "Langfristig bleibt die Schwierigkeit bestehen, dass die Crux der EuGH-Entscheidung war, dass die Überwachung durch die US-Regierung als zu sehr zudringlich eingestuft wurde", sagte er am Freitag in der US-Radiosendung Bloomberg Law.
"Und der Judicial Redress Act betrifft mögliche Verwendungen der Daten durch die US-Regierung, ändert aber überhaupt nichts daran, was die Geheimdienste tun werden oder was die Strafverfolger mit Teilen dieser Daten tun werden", fuhr Wu fort, "Mir scheint, (das Gesetz) wird die fundamentale Meinungsverschiedenheit, zumindest wie sie vom EuGH ausgedrückt wurde, nicht wirklich angehen."
Auch Alternativen könnten wegfallen
Nun gab es bisher mehrere Alternativen zu Safe Harbor, nach denen die Übertragung personenbezogener Daten in die USA unter Umständen legal ist. Die Art-29-Arbeitsgruppe plant, diese Alternativen einer Untersuchung im Lichte der EuGH-Entscheidung zu unterziehen. Das Ergebnis dieser Untersuchung könnte auch die alternativen Rechtsgrundlagen einschränken oder sie gänzlich unanwendbar machen.
"(Die Ausdehnung der EuGH-Entscheidung auf die anderen Übertragungsgrundlagen) würde den Datentransfer mehr oder weniger komplett abschalten", meinte Wu, "Die Daten würden vielleicht in der EU bleiben müssen. (...) Manche Unternehmen werden damit umgehen können. Aber andere werden herausfinden, dass das prohibitiv teuer sein wird."
Vorgeschichte
(Bild: Lieven Creemers/EU)
Im Juli 2000 hatte die EU-Kommission entschieden, dass die USA EU-Bürgern einen angemessenes Datenschutz gewährleisten, wenn sich US-Firmen bestimmten Regeln unterwerfen. Diese Entscheidung ist als Safe Harbor bekannt. Bis Herbst 2015 hatten sich etwa 5.500 Unternehmen registriert, um von Safe Harbor Gebrauch machen zu können.
Doch selbst wenn sich die Unternehmen an die EU-Regeln halten, was nicht nennenswert überprüft wurde, gilt das nicht für US-Behörden. Sie können im Interesse der nationalen Sicherheit jederzeit auf die Daten zugreifen. EU-Bürger haben keine Handhabe dagegen. Also ist kein Datenschutz "gewährleistet".
Der EuGH befasste sich mit Safe Harbor im Rahmen des vom Wiener Max Schrems angestrengten Datenschutzverfahrens Europe v Facebook. Im Oktober 2015 hob der EuGH die Safe-Harbor-Entscheidung der EU-Kommission schließlich auf. Die Art-29-Arbeitsgruppe beschloss in der Folge das eine Ultimatum, welches um Mitternacht abgelaufen ist. Es ist aber nicht davon auszugehen, dass die nationalen Datenschutzbehörden ab heute gegen illegale Datentransfers vorgehen. Angesichts der fortgesetzten Bemühungen um eine neue Regelung wäre das politisch untunlich. (ds)
