Safe Harbour, Privacy Shield, Trump und die Folgen

Als die Europäische Union und die USA im Jahr 2000 die Safe Harbour-Vereinbarung verabschiedeten, war die Erleichterung groß, trat damit doch – trotz aller Kritiken – eine gewisse Rechtssicherheit ein: Endlich konnten personenbezogene Daten legal in die USA übermittelt werden. Nach den Europäischen Datenschutzlinien ist der Datentransfer in Drittstaaten verboten, die über kein dem EU-Recht vergleichbaren Datenschutzniveau verfügen – und das traf auch auf die USA zu.  Was bedeutete: Entweder wäre der Datenaustausch mit einem der wichtigsten Handelspartner der EU über kurz oder lang zum Erliegen gekommen – oder die beteiligten Firmen hätten gegen geltendes Recht verstoßen müssen. Die Safe Harbour-Vereinbarung sollte dieses Dilemma lösen. In den USA tätige Unternehmen konnten sich öffentlich verpflichten, bestimmte Prinzipien des Datenschutzes einzuhalten. Dazu zählt zum Beispiel die Pflicht, die Betroffenen zu informieren, welche Daten erhoben werden und an wen sie weitergegeben werden, aber auch die Möglichkeit, die Daten einzusehen und einer Weitergabe zu widersprechen. Vor allem aber mussten die Firmen versichern, die Daten vor unbefugtem Zugang und Missbrauch zu schützen.

Schon bald aber geriet das Safe Harbour-Abkommen in die Kritik. Es sei „das Papier nicht wert, auf dem es geschrieben steht“ – urteilte das Unabhängige Landeszentrum für Datenschutz in Schleswig Holstein, da den US-Sicherheitsbehörden im Rahmen des USA PATRIOT Acts Zugriff auf alle in den USA gespeicherten Daten gewährt werden muss – auch ohne Benachrichtigung der Dateninhaber.  Nachdem dann 2013 – nach den Enthüllungen Edward Snowdens – die deutschen Datenschutzbeauftragten angekündigt hatten, bis auf weiteres unter Safe Harbour keine Datenexporte in die USA mehr zulassen zu wollen, stimmten ein Jahr später die EU-Abgeordneten für eine Aussetzung des Abkommens, das 2015 vom EuGH dann endgültig gekippt wurde. Aus Sicht des Gerichts war ein angemessenes Datenschutzniveau aufgrund der in den USA herrschenden Rechtspraxis nicht gegeben.

Noch im selben Jahr begannen die Verhandlungen zwischen der Europäischen Union und den USA über ein verbessertes Übereinkommen auf dem Gebiet des Datenschutzrechtes, dem EU-US Privacy Shield. Das sollte besonders die beiden größten Kritikpunkte des EuGH berücksichtigen : Zum einen waren das die als viel zu weitreichend beurteilten Befugnisse der US-Behörden, auch ohne Anlass die Datenströme und die Kommunikation zu überwachen, zum anderen die eingeschränkten Rechte der EU-Bürger in Bezug auf Berichtigung oder Löschung ihrer Daten. Eile war geboten, denn in der Zeit zwischen Safe Harbour und Privacy Shield waren allein Binding Corporate Rules und die EU Standard-Vertragsklauseln die einzige Möglichkeit für einen rechtlich zulässigen Datentransfer in die USA – dünnes Eis für viele Unternehmen.

Das – mehrfach nachgebesserte – Ergebnis, das im Sommer 2016 verabschiedet wurde,   stand dann am Ende aber doch eher auf wackligen Füßen. Zwar  sah es klarere gesetzliche Grundlagen für Datenzugriffe durch US-Behörden vor, auch waren die zu erfüllenden Kriterien für eine Teilnahme seitens der US-Firmen deutlich strenger, zudem sollten EU-Bürger nun das Recht haben, sich – wie US-Bürger auch – an eine  unabhängige Beschwerdestelle zu wenden, sofern sie das Gefühl haben, dass mit ihren personenbezogenen Daten missbräuchlich umgegangen wird.  Doch so richtig zufrieden waren damit weder Datenschutzorganisationen – die immer noch massive Datenschlupflöcher bemängelten –  noch die EU-Kommission. Die  kündigte dann auch an, regelmäßig ein Auge auf die Einhaltung der Vorgaben werfen zu wollen, um das Privacy Shield gegebenenfalls neu anzupassen oder es sogar wieder ganz aufzuheben.  Denn die ursprüngliche Probleme, die letztendlich das Safe Harbour-Abkommen zu Fall brachten, bestehen grundsätzlich auch weiterhin: Grundpfeiler des Privacy Shield ist weiterhin eine Selbstverpflichtung der teilnehmenden US-Firmen, die aber natürlich auch weiterhin dem US-Recht verpflichtet und den Behörden gegenüber im Zweifelsfall auch auskunftspflichtig sind. Auch sind die möglichen Ausnahmen, in denen die Nutzung der Daten von EU-Bürgern eben doch gestattet sind, so weit gefasst, dass sie eine Massenüberwachung nicht ausschließen. Und auch die Beschwerdestelle für EU-Bürger im US-Außenministerium scheint weder unabhängig noch sonderlich durchsetzungsfähig zu sein. Viele Fragezeichen also und eine fragwürdige  Datensicherheit – die erhoffte Ruhe hat also auch das wacklige Konstrukt Privacy Shield bisher nicht gebracht.

Mit seiner Executive Order vom 25. Januar 2017 zur „Verbesserung der öffentlichen Sicherheit“ hat US-Präsident Trump das Privacy Shield nun sogar praktisch außer Kraft gesetzt. Darin heißt es, dass die Behörden dafür zu sorgen hätten, dass „ihre Datenschutzlinien Personen, die nicht Staatsangehörige der Vereinigten Staaten sind oder gesetzliche ständige Einwohner, vom Schutz des Privacy Act bezüglich ihrer personenbezogenen Daten ausschließen“. Auch wenn er damit in erster Linie wohl die Bürger aus den muslimischen Ländern im Visier hat – und die US-Regierung versicherte, dass sich damit nichts am Privacy-Abkommen geändert habe –  kann die Anordnung durchaus auch so verstanden werden, dass damit die – von der Obama-Regierung noch kurz vor dem Ende der Amtszeit bestätigten – Privilegierung der Bürger anderer Staaten – am Ende doch aufgehoben wird. Auch lässt die Besetzung wichtiger Schlüsselstellen in den USA mit erklärten Gegnern der Abschaffung der US-amerikanischen Massenüberwachung – wie etwa der neue CIA-Direktor Mike Pompeo oder Justizminister Jeff Sessions – durchaus berechtigte Zweifel offen.

Eigentlich wollte die EU-Kommission den Privacy Shield erst im Sommer 2017 wieder auf den Prüfstand holen; doch so viel Zeit wird sie nicht haben, sie muss jetzt handeln. So hat EU-Justizkommissarin Vera Jourová in einem Interview mit Bloomberg Anfang März dann auch angekündigt, das Abkommen unverzüglich außer Kraft setzen zu wollen, falls die US-Regierung sich nicht an ihre Versprechen halten werde. Das fordern auch die Bürgerrechtsorganisationen American Civil Liberties Union (ACLU) und Human Rights Watch, sehen sie doch die Rechte europäischer Bürger durch das Trump-Dekret eingeschränkt.

Was also ist zu tun? Eine erneute Nachbesserung scheint wenig aussichtsreich. Die gängige Rechtspraxis und der neue Kurs in den USA lassen weniger denn je darauf hoffen, dass das US-amerikanische Datenschutzniveau in absehbarer Zeit die Vorgaben aus der EU erfüllen wird und noch weniger, dass die Daten aus der EU vor den massiven Zugriffen der US-Behörden sicher sein werden.  Daten, die im Falle eines Handelskriegs gar gegen die europäischen Firmen eingesetzt werden könnten.

Natürlich können die europäischen Firmen auch wieder – wie schon vor Safe Harbour und vor dem Privacy Shield – auf die Standardvertragsklauseln setzen, also mit ihren amerikanischen Partnern einen Vertrag abschließen, der den von der EU-Kommission verabschiedeten Standardvertragsklauseln entspricht. Doch ist deren Zukunft ungewiss. Bereits im Mai 2016 wurden erste Verfahren beim EuGH zur Prüfung der Zulässigkeit angestrebt. Derzeit lässt die irische Datenschutzaufsichtsbehörde klären, ob die besagte Klauseln überhaupt noch rechtskonform sind. Dünnes Eis also.

Die langfristig einzig praktikable und wirklich sichere Lösung scheint zu sein, die teilweise hochsensiblen Daten gar nicht erst in die USA zu schicken, sondern sie im EU-Raum zu speichern. Ein Weg, den inzwischen auch immer mehr US-Unternehmen wie etwa Microsoft anbieten, indem sie für ihre kürzlich eingerichtete Deutschland Cloud T-Systems als Datentreuhänder einsetzen – und die Daten damit dem Zugriff US-amerikanischer Behörden und Sicherheitsdienste entziehen. Aber auch rein deutsche Cloud-Dienste, die den deutschen Datenschutzgesetzen unterliegen und die Daten auf Servern in Deutschland speichern  – wie zum Beispiel der File Sync&Share Spezialist dal33t GmbH mit seiner PowerFolder-Lösung – oder die Wortmann AG mit ihrem TERRA Drive sind eine probate Möglichkeit für EU-Unternehmen, nicht erneut Gefahr zu laufen, den Boden der Rechtssicherheit zu verlassen und ihre Daten einem Zugriff mit ungewissen Folgen auszusetzen. Und im europäischen Ausland gibt es inzwischen ebenfalls ausreichend nationale Lösungen, wie etwa Belsoft in der Schweiz oder  Factor-y in Italien.

Denn die europäischen Firmen sind letztendlich für die Rechtmäßigkeit ihrer Datentransfers selbst verantwortlich. Bei etwaigen Verstößen müssen sie den Kopf hinhalten. Und das könnte ein hoher Preis sein.