Safe Harbor 2.0 — Wunsch oder Wirklichkeit

By | 8. Januar 2016

Was ist mit Safe Har­bor 1.0 pas­siert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig über­rascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Welt­fremd­heit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards wirk­lich in die Tat umge­setzt waren, fand nicht statt. Allei­ne schon des­we­gen stand die­ses Ver­fah­ren von Anfang an unter Beschuss sei­tens Ver­tre­tern des Daten­schut­zes.

Zusätz­lich bot Safe Har­bor kei­nen Schutz vor US-geheim­dienst­li­chen Zugrif­fen auf Daten deut­scher / euro­päi­scher Bür­ger, selbst wenn deren Daten in euro­päi­schen Rechen­zen­tren die­ser ame­ri­ka­ni­schen Unter­neh­men gespei­chert waren.

Die­sem Umstand trug der EuGH in sei­nem Urteil vom 06.10.2015 Rech­nung und hat Safe Har­bor für unzu­läs­sig erklärt. In der Urteils­be­grün­dung wur­de wei­ter­hin die Auto­no­mie der Daten­schutz­be­hör­den der Mit­glieds­län­der in die­ser Sache bekräf­tigt. Und ab hier wird es bunt …

Die Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit spricht von einem “Mei­len­stein für den Daten­schutz”.

Das ULD pos­tu­lier­te “Das ULD wird prü­fen, ob Anord­nun­gen gegen­über nicht­öf­fent­li­chen Stel­len getrof­fen wer­den müs­sen, auf deren Basis Daten­über­mitt­lun­gen in die USA aus­ge­setzt oder ver­bo­ten wer­den müs­sen.” 

Recht blau­äu­gig reagiert hin­ge­gen die EU Kom­mis­si­on, die für das bis­he­ri­ge Safe Har­bor Ver­fah­ren ver­ant­wort­lich zeich­net. Das Urteil wird als “Wei­ter so” betrach­tet, in Form von  Neu­ver­hand­lun­gen zu Safe Har­bor. Bis die­se nicht abge­schlos­sen sind, wäre kein Grund zum Han­deln laut der Kom­mis­si­on.

Doch es gibt auch Erfreu­li­ches zu berich­ten

Die Arti­kel 29 Grup­pe (der Zusam­men­schluss der EU Daten­schutz­be­auf­trag­ten) zeigt hier etwas mehr Augen­maß. Sie sieht die Not­wen­dig­keit einer gemein­sa­mem Linie in der wei­te­ren Vor­ge­hens­wei­se. Bis dahin sol­len zumin­dest die EU stan­dard clau­ses für Rechts­si­cher­heit bei den Unter­neh­men auf bei­den Sei­ten des Atlan­tiks sor­gen. Die­se wur­den vom EuGH nicht für unzu­läs­sig erklärt, obwohl sich die Kri­tik an Safe Har­bor auch auf die clau­ses anwen­den lässt.

Vera Jou­ro­va, EU-Kom­mis­sa­rin für Jus­tiz, Ver­brau­cher­schutz und Gleich­stel­lung, äußer­te sich vor kur­zem in einer öster­rei­chi­schen Tages­zei­tung zuver­sicht­lich, ein neu­es Safe Har­bor Abkom­men mit den USA schon bald abschlie­ßen zu kön­nen. Bei dem Nach­fol­ger von Safe Har­bor dürf­te es sich tat­säch­lich um ein Abkom­men han­deln, nicht um eine ein­sei­ti­ge Ent­schei­dung der Kom­mis­si­on (mit einer der Kri­tik­punk­te an der frü­he­ren Rege­lung).

Idea­ler­wei­se soll­ten wir uns über alle Streit­fra­gen bis Mit­te Jän­ner 2016 eini­gen“, so Vera Jou­ra­va im Inter­view. Das mag opti­mis­tisch klin­gen, aber der Druck auf bei­den Sei­ten des Atlan­tiks ist enorm. Unter­neh­men in den USA und ihre Ver­trags­part­ner auf Sei­ten der EU müs­sen sich plötz­lich mit den EU-Stan­dard­ver­trags­klau­seln beschäf­ti­gen. Und auch die­se stel­len schlimms­ten­falls nur eine Inte­rims­lö­sung dar.

Bis hier­über Klar­heit herrscht, soll­ten bis­he­ri­ge Ver­ein­ba­run­gen zur Daten­über­mitt­lung, die sich aus­schließ­lich auf Safe Har­bor bezie­hen, auf die EU-Stan­dard­ver­trags­klau­seln umge­stellt wer­den. Die Erfah­run­gen der letz­ten Wochen zei­gen, dass ame­ri­ka­ni­sche Anbie­ter hier kon­struk­tiv mit­ar­bei­ten und die Umstel­lung unter­stüt­zen. Ende Janu­ar 2016 wird man sehen, was die Zukunft bringt. Die Zeit soll­te man jedoch nicht unge­nutzt ver­strei­chen las­sen. Denn recht­lich sind unse­re deut­schen Lan­des­da­ten­schutz­be­hör­den durch­aus in der Lage, den “Ste­cker zu zie­hen”.

Micro­soft führt zur Zeit einen Mus­ter­pro­zess in den USA (2nd U.S. Cir­cuit Court of Appeals, No. 14–2985). Das Unter­neh­men will die Her­aus­ga­be von per­so­nen­be­zo­ge­nen Daten an US-Behör­den ver­hin­dern, die auf euro­päi­schen Ser­vern gespei­chert sind. Geht die­ses Urteil zuguns­ten von Micro­soft aus, wäre das ein wirk­li­cher Pau­ken­schlag. Im ande­ren Fall wird eine gan­ze Bran­che mit Gigan­ten wie Micro­soft, Apple, Goog­le, Face­book & Co. schwer zu kämp­fen haben. Das Wall Street Jour­nal berich­tet noch am Tag des Urteils über die Bemü­hun­gen ame­ri­ka­ni­scher Unter­neh­men, die per­so­nen­be­zo­ge­nen Daten euro­päi­scher und deut­scher Bür­ger dem Zugriff der US-Behör­den zu ent­zie­hen.

Was kön­nen Sie tun?

Trotz der Panik­ma­che sei­tens der deut­schen Lan­des­da­ten­schutz­be­hör­den hilft purer Aktio­nis­mus nicht wei­ter. Auch wenn sich deut­sche und euro­päi­sche Anbie­ter nun die Hän­de rei­ben, sie müs­sen sich an Leis­tung und Preis der trans­at­lan­ti­schen Kon­kur­renz mes­sen las­sen. Und selbst den Daten­schutz­be­hör­den soll­te klar sein, dass die Migra­ti­on eines lang­jäh­rig genutz­ten CRM Sys­tems oder ande­rer ele­men­ta­rer Bau­stei­ne nicht auf Knopf­druck erfol­gen kann, selbst wenn ein alter­na­ti­ver Anbie­ter gefun­den wur­de.

  1. Umschau­en scha­det nicht: Ob und wie eine Ersatz­re­ge­lung für Safe Har­bor gefun­den wer­den kann, steht zur Zeit in den Ster­nen. Wer also per­so­nen­be­zo­ge­ne Daten zu US-ame­ri­ka­ni­schen Anbie­tern über­trägt und / oder deren Ser­vices nutzt, soll­te zumin­dest den euro­päi­schen und deut­schen Markt nach geeig­ne­ten mög­li­chen Alter­na­ti­ven son­die­ren.
  2. Aus­wei­chen auf die EU stan­dard clau­ses: Noch sind die­se nicht per Urteil außer Kraft gesetzt und kön­nen daher bis auf wei­te­res aus Sicht der Art.29-Gruppe als Legi­ti­ma­ti­ons­er­satz die­nen. Gera­de Nut­zer der Micro­soft Cloud­ser­vices haben es hier rela­tiv ein­fach, hat das Unter­neh­men doch mit sei­nen Rege­lun­gen den Segen der Art.29-Gruppe erhal­ten. Die Doku­men­te für die Micro­soft Ser­vices fin­den Sie hier.
  3. Ein­wil­li­gung der Betrof­fe­nen statt ver­trag­li­cher Rege­lun­gen mit den US-Unter­neh­men: Hier schei­den sich die Geis­ter. Wäh­rend bei­spiels­wei­se der ehe­ma­li­ge Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar als einer von vie­len eine sau­ber für die­sen Zweck for­mu­lier­te und ein­ge­hol­te Ein­wil­li­gung samt aus­führ­li­cher Infor­ma­ti­on über die Risi­ken der Daten­über­mitt­lung in die USA oder an US-Unter­neh­men für zuläs­sig hält, sehen das eini­ge Lan­des­da­ten­schutz­be­auf­trag­te anders. In deren Augen kann die Ein­wil­li­gung — als eigent­lich stärks­tes Zuläs­sig­keits­in­stru­ment — dies nicht leis­ten.
  4. Küh­len Kopf bewah­ren: Bei aller Panik­ma­che sei­tens der Schutz­be­hör­den soll­te das The­ma nun ruhig und kon­zen­triert ange­gan­gen wer­den. Bei­de Sei­ten des Atlan­tiks sind hier auf­ein­an­der ange­wie­sen, gera­de auch wirt­schaft­lich. Gan­ze Bran­chen kön­nen hier nicht wech­sel­sei­tig auf­ein­an­der ver­zich­ten. Von daher steht zu erwar­ten, dass auf bei­den Sei­ten Bewe­gung in die Sache kom­men. Eine Garan­tie gibt es hier­für jedoch kei­ne. Daher gilt wie­der Punkt 1 Umschau­en scha­det nicht” 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.