Nach Safe Harbor: Die Datenschutz-Aufsicht in der Selbstfindung
Wie es ohne Safe Harbor weitergeht, darüber werden nach dem Willen des Europäischen Gerichtshofs die Datenschutz-Aufsichtsbehörden befinden. Unklar ist, ob sie dies als "historischen Wendepunkt" begreifen, oder ein pragmatisches "Weiter so" betreiben.
Wie eine Bombe hat das Urteil eingeschlagen, mit dem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen über den Datenaustausch zwischen der EU und den USA für ungültig erklärt hat. Während der erste Schock langsam nachlässt, versuchen Europas Datenschützer die neue Rolle zu füllen, die das Gericht ihnen zuweist. Bis Mittwoch wollen die deutschen Aufsichtsbehörden zu einem gemeinsamen Beschluss kommen. Am Donnerstag tagen dann die europäischen Datenschützer im Rahmen der Artikel-29-Gruppe. Eine gemeinsame europäische Strategie ist jedoch nicht in Sicht.
Nervöse Unternehmen
Unter US-Unternehmen wächst derweil die Nervosität. Ein Facebook-Manager deutete gegenüber dem irischen Independent an, dass eine Trennung von europäischen und nicht-europäischen Daten Milliarden US-Dollar kosten könnte, da man neue Rechenzentren in Europa bauen müsse.
Die EU-Kommission versucht diese Unsicherheit für sich zu nutzen: Obgleich der EuGH klarstellte, dass Brüssel die Kontrollrechte der Datenschutzaufsicht nicht einschränken darf, kündigte Kommissionsvize Frans Timmermann noch am Tag des Urteils forsch “klare Vorgaben” für die nationalen Datenschutz-Behörden an. Das soll in einigen deutschen Aufsichtsbehörden ein belustigtes bis empörtes Kopfschütteln ausgelöst haben. Es ist nach dem Willen des EuGH nämlich weder die Aufgabe der EU-Kommission noch des EU-Parlaments, das weitere Vorgehen festzulegen.
Wendepunkt im Datenverkehr?
Die Aufsichtsbehörden müssen sich erst noch in ihre neue Rolle finden, die ihnen der Gerichtshof zugeschrieben hat: Sie müssen ohne Vorgaben der Politik selbst zu einer Beurteilung der rechtlichen Lage im Einzelfall finden. Jede Behörde ist unabhängig und kann selbst Entscheidungen treffen. Gleichwohl ist eine gewisse Koordination untereinander nötig. In der Vergangenheit gelang dies den europäischen Aufsichtsbehörden bereits im Fall Google, der unter anderem in das EuGH-Urteil zum "Recht auf Vergessen" mündete. Die Aktion war vorher europaweit abgestimmt worden.
Unter deutschen Datenschützern gibt es noch wesentliche Differenzen. Während unter anderem der Hamburgische Datenschutzbeauftragte Johannes Caspar in dem Urteil einen historischen "Wendepunkt im Datenverkehr" sieht, versuchen andere die Dramatik des Urteils herunterzuspielen. Uneinig war man sich unter anderem darüber, ob das Urteil unmittelbar umzusetzen ist, oder ob den Unternehmen eine Art Übergangsfrist zu gewähren ist. Die Bremer Datenschutzbeauftragte Imke Sommer etwa hatte sich schon in der vergangenen Woche eindeutig positioniert und eine "sofortige Reaktion" von allen Unternehmen gefordert.
US-Zugriff begrenzen
Während die EU-Kommission meint, dass Daten mit den abgesegneten Standardvertragsklauseln und sogenannten Corporate Binding Rules weiter in die USA transferiert werden können, meint Sommer, "nur die US-Regierung" könne die Unternehmen "aus ihrer unbequemen Lage befreien". Washington müsse auf "unverhältnismäßige Zugriffe" auf personenbezogene Daten verzichten. Auch bei anderen Behörden ist man der Meinung, der EuGH habe den USA eine unzureichende Rechtsstaatlichkeit testiert. Solche Defizite könnten nicht durch vertragliche Vereinbarungen repariert werden, sondern nur durch politisches Einlenken der USA. Auch die Einwilligung, wie sie Justiz-Kommissarin Věra Jourová propagiert, gilt bei einigen Datenschützern nicht als adäquates Instrument.
Gleichwohl versuchen die meisten Aufsichtsbehörden keine totale Blockadehaltung einzunehmen, sondern Lösungswege aufzuzeigen. So könnten in bestimmten Geschäftsbereichen wie der Cloud technische Maßnahmen wie Ende-zu-Ende-Verschlüsselung ein Mitwissen der Unternehmen unterbinden. Auch der Einsatz von attributbasierten Berechtigungsnachweisen könnte für einige Geschäftszwecke möglich sein. Das Safe-Harbor-Urteil könne somit auch "Privacy by Design"-Techniken zum Durchbruch verhelfen.
Europa uneinig
Während schon die Gefechtslage innerhalb Deutschlands schwierig ist, ist sie auf europäischer Ebene wohl nicht minder knifflig. Einiges deutet darauf hin, dass es wohl zu keiner "historischen Wende" kommen wird. Die französische Datenschutzbeauftragte, die derzeit den Vorsitz der Artikel-29-Gruppe inne hat, betont, dass die nationalen Aufsichtsbehörden künftig die Entscheidung über den Datentransfer treffen müssen, geht jedoch nicht weiter auf Details ein.
Der österreichische Datenschutzbeauftragte veröffentlichte hingegen zum Erstaunen seiner deutschen Kollegen bereits eine kleine Handreichung, in welcher er Unternehmen anbietet, eine gebührenpflichtige Überprüfung des Datenverkehrs durchzuführen. Dabei stellt er die Anwendung von Binding Corporate Rules nicht in Frage. Auch der britische Datenschutzbeauftragte schloss die Anwendung von rechtlichen Lösungen wie den Binding Corporate Rules ebenfalls nicht aus. Die spanische Datenschutzaufsicht, die das EuGH-Urteil gegen Google auf den Weg gebracht hatte, äußerte sich hingegen überhaupt nicht. (vbr)
