Die Welt nach Safe Harbor

Im Oktober 2015 hat der Europäische Gerichtshof das Safe-Harbor-Abkommen zu Datentransfers in die USA für ungültig erklärt. Vorausgegangen war die Klage des Österreichers Maximilian Schrems, der die Datenspeicherungspraxis von Facebook in den USA als nicht konform mit europäischen Datenschutzprinzipien sah. Nachdem der EuGH der Ansicht von Schrems gefolgt war, standen international aufgestellte Unternehmen vor dem Ende ihrer bisherigen Datenübertragungspraxis. Nach Ablauf der Übergangsfrist bis zum 1. Februar 2016, durften sie keine persönlichen Daten wie Namen, Adressen oder Kreditkartennummern mit Niederlassungen in den USA teilen. Grundsätzlich konnten alle Geschäftsmodelle betroffen sein, nicht nur Social Media Plattformen wie Facebook oder Twitter, sondern auch gesamte Branchenzweige im Bereich eCommerce und Cloud Computing. Bei Verstößen dagegen drohten Bußgelder von bis zu 300.000 Euro.

Viele Manager reagierten zunächst gelassen auf das Ende von Safe-Harbor. Datentransfers persönlicher Daten sind unabdingbar für die internationale Business-Welt, es war undenkbar, dass diese Praxis gestoppt und Firmen zum digitalen Schweigegelübde verdonnert werden würden. Doch mit jedem Tag, an dem keine Einigung in den Verhandlungen zwischen EU-Kommission und den Vertretern der USA erzielt wurde, stieg die Nervosität. Datenschutz hat in den USA in der breiten Masse und bei den meisten Firmen einen völlig anderen Stellenwert als in Europa, besonders in Deutschland. Daten gelten als flexibel und möglichst gewinnbringend zu handhabende Meta-Währung, Sicherheitsbedenken, vor allem gegen den Missbrauch der Daten, haben keinen großen Stellenwert.

Als, spätestens nach den Enthüllungen durch Edward Snowden, klar wurde, wie ungehemmt Staat und Staatsdienste Zugriff auf jedwede gespeicherte Information nehmen, kämpften viele Datenschützer in Europa für ein Ende der bisherigen Praxis. Sie basierte auf dem guten Willen der amerikanischen Firmen und wurde in keinster Weise kontrolliert. Eine Studie der Research- und Analysefirma Galexia fand bereits im Jahr 2008 gravierende Verstöße gegen die ohnehin laxen Regeln des Safe Harbor-Agreements. So hatten Firmen das Safe Harbor-Logo auf ihren Webseiten verwendet, obwohl sie keine entsprechende Verpflichtung unterzeichnet hatten, nur 54 der damals 1109 Mitglieder schlossen alle Daten (Online, Personaldaten, Offline) in den Schutz ein und viele Firmen verwechselten schlichtweg Datenschutz mit Datensicherheit.

Gute Gründe für das Ende von Safe Harbor gab es also zu Hauf. Nun, in letzter Minute, kurz nach Ablauf der Gnadenfrist, löst der „EU-US Privacy Shield“ die bisherige Praxis ab und soll alles besser machen. Der endgültige Entwurf steht noch nicht fest und wird erst in einigen Wochen veröffentlicht, momentan existiert nur eine Zusammenfassung der wichtigsten Punkte. Die ersten Bewertungen des neuen Deals lassen leider nichts Gutes vermuten. Je nach Interessenlage – Datenschützer oder Unternehmensverbandssprecher – fallen die Kommentare entweder jubelnd oder verdammend aus. Beim Digitalverband Bitkom klingt das so: „Das neue Abkommen ist ein wichtiger Schritt zu mehr Rechtssicherheit beim Datenaustausch mit den USA“, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. „In der digitalen Welt von heute müssen neben Waren und Dienstleistungen auch Daten Grenzen überschreiten können. Dafür brauchen die Unternehmen auf beiden Seiten des Atlantiks sichere rechtliche Grundlagen.“ Grünen-Politiker Konstantin von Notz kommentiert hingegen: „Raider heißt jetzt Twix und Safe Harbor Privacy Shield – am Grundrechtsschutz ändert sich aber voraussichtlich nichts. Die präsentierte Verhandlungslösung ist eine reine Mogelpackung. Das Ziel, den Grundrechtsschutz für Bürgerinnen und Bürger effektiv zu erhöhen, wird phänomenal verfehlt. Auch die Rechtssicherheit für Unternehmen rückt in weite Ferne. Die Vorgaben des EuGH werden absehbar nicht erfüllt.“

Tatsächlich liest sich die Zusammenfassung des neuen Privacy Shield zwar sehr zuversichtlich, doch fehlen wieder konkrete rechtliche Zugeständnisse von Seiten der USA. Man mahnt an, weist darauf hin, verlangt und fordert – von den Unternehmen. Wie kontrolliert wird und was passiert, wenn ein Unternehmen gegen die Vorgaben verstößt, bleibt weitgehend offen. Dazu gibt es noch einige Ausnahmen, die vor allem Geheimdiensten zu Gute kommen, die im Gegenzug strenger kontrolliert werden sollen. NSA, CIA und Konsorten hatten sich aber schon in keinster Weise an die alten Regelungen gehalten. Dass eine amerikanische Regierung, die nur noch wenige Wochen im Amt ist, nachhaltige funktionierende Kontrollen der mächtigen Dienste durchsetzen kann, ist illusorisch.

Was bleibt als Resultat für Unternehmen, die trotzdem mit ihren amerikanischen Zweig- oder Hauptstellen persönliche Daten austauschen müssen und zumindest Rechtssicherheit suchen? Wer sich nicht auf diese oder andere administrative Initiativen verlassen will, kann verbindliche Unternehmensrichtlinien und EU-Standardvertragsklauseln prüfen. Der Verband eco bietet hier einen entsprechenden Leitfaden an. Die EU-Datenschutzaufsichtsbehörden dürfen die Verträge prüfen und Verstöße ahnden. Zudem haben die Betroffenen ein Beschwerde- und Klagerecht bei Aufsichtsbehörden und Gerichten in Europa. Ob diese Regelung der Rechtsprechung standhalten wird, ist allerdings noch nicht abschließend geklärt. Die EU-Datenschutzbehörden prüfen derzeit, welche Auswirkungen das Safe-Harbor-Urteil aus Ihrer Sicht auf Standardvertragsklauseln und Corporate Binding Rules haben, eine Antwort wird in diesen Tagen erwartet.