Safe Harbor und die Folgen
Der unsichere Hafen
Das Safe Harbor Agreement sollte für Datenschutz sorgen und eine sichere Brücke zwischen zwei Kontinenten schlagen. Doch prallten hier zwei fundamental verschiedene Datenschutzsysteme aufeinander. Dies führte zwangsläufig zu Umsetzungsschwierigkeiten. Der Europäische Gerichtshof (EuGH) hielt das Schutzniveau des Abkommens für nicht ausreichend und warf Safe Harbor in seinem Urteil vom 6.10.2015 kurzerhand über Bord. Nun klafft eine Lücke, die erst noch zu schließen sein wird.
Betrachtet man die Datenschutzphilosophie in den USA, tritt ein liberaler Datenschutzansatz zutage: Im amerikanischen Selbstverständnis geht das Gefahrenpotenzial vom Staat aus - eine Beobachtung, die im Lichte der Snowden-Affäre durchaus pointiert wirkt, jedoch keineswegs eines faktischen Fundaments entbehrt. Datenschutz wird in den USA als eine Manifestation des individuellen Eigentumsrechts begriffen. Diese starke Rechtsposition muss grundsätzlich in Einklang mit dem staatlichen Auftrag des Schutzes der öffentlichen Sicherheit gebracht werden. Entsprechend wird der Datenschutz nach einer Entscheidung des Supreme Courts zugunsten staatlicher Überwachung beschränkt (bspw. Katz v. United States, 386 U.S. 954, 1967). Auch steht der Datenschutz im starken Konflikt mit der Rede- und Pressefreiheit. Vorstöße der Europäischen Union - vor allem zum "Recht auf Vergessenwerden" - stehen der US-Rechtsprechung entgegen. Die USA verlassen sich in ihrem Datenschutzsystem auf staatliche und föderale Statuten und Doktrinen - mithin auf sektorale Gesetzgebung, darunter der Intelligence Surveillance Act, Children Online Privacy Protection Act, Protect IP Act und der Health Insurance Portability and Accountability Act. Der Datenschutz knüpft in den USA eher an Verbraucherschutz und Wettbewerbsrecht an. Vor allem fehlt eine überwachende Durchsetzungsbehörde, stattdessen soll ein selbstregulatorisches Element den Raum für Leistungspotenzial und Flexibilität sichern.
Datenschutz in der EU
Die Datenschutztradition der Europäischen Union (EU) hat ihre Wurzel dagegen in der Idee der europäischen Gemeinschaft. Die Einheitlichkeit des Datenschutzes innerhalb Europas soll Barrieren zwischen den Mitgliedstaaten abbauen, frei nach dem Motto: gemeinsamer Wirtschaftsraum - gemeinsame Grenzen - gemeinsamer Datenschutz. Zentrales Element ist es, dass die Staatengemeinschaft das Individuum gegenüber der Wirtschaft zu schützen hat. Letztlich ist von einem eher proaktiven Ansatz zu sprechen, aber in Bezug auf außereuropäische Datenschutzsysteme ergänzt um ein reaktives Element, nämlich die Richtlinie 95/46/EG über die Verarbeitung personenbezogener Daten. Diese besagt, dass die Verarbeitung personenbezogener Daten nur insoweit rechtmäßig ist, als eine Einwilligung der betroffenen Person vorliegt. Eine Übermittlung personenbezogener Daten in Drittländer gestattet diese Richtlinie in einer Standardklausel immer nur dann, wenn dort ein angemessenes Schutzniveau für personenbezogene Daten garantiert wird und die Europäische Kommission diesen Staaten eine entsprechende Bescheinigung ausgestellt hat.
Dieser Ansatz der EU verschärft natürlich das Konfliktpotenzial mit den USA - und wirft auch die Frage der Zuständigkeitsbereiche auf. Nach klassischer Völkerrechtslehre wird die Zuständigkeit der Gerichtsbarkeit durch die Souveränität eines Staates festgestellt. Eigentlich soll dies die Unabhängigkeit und Gleichheit der Staaten garantieren, hier führt es jedoch zu Reibungspunkten zwischen den USA und der EU: Die USA machen die Zuständigkeit je Einzelfall davon abhängig, ob tatsächlich eine wirtschaftliche Transaktion stattgefunden hat oder lediglich Informationen ausgetauscht wurden. Die EU sieht sich aber in allen Fällen zuständig, in denen Daten von EU-Bürgern gesammelt werden oder auf solche zugegriffen wird.
Sichere Häfen
Um diesen Konflikt zu lösen, wurde begrifflich tief in der romantischen Seefahrtphantasie gegraben: Es entstand das Safe Harbor Agreement. Diese Datenschutzvereinbarung sollte den Datenverkehr zwischen der EU und den USA mit der Richtlinie 95/46/EG in Einklang bringen und so den europäischen Bürgern und Unternehmen nach der Überquerung des Datenozeans in die USA einen sicheren Hafen bieten. Die Idee war, dass sich amerikanische Unternehmen den Vorgaben der "Safe Harbor Privacy Principles" unterwerfen können - was jedoch vollkommen freiwillig geschah. Das US-Department of Commerce zertifizierte jährlich die Einhaltung von selbstregulierenden Programmen. Es erklärte das Safe Harbor Agreement als "Gold Standard for Data Protection". Auf europäischer Seite akzeptierte man diese "Principles" als ausreichend. Doch schon am Format der rechtlichen Ausgestaltung wird deutlich, dass nicht alles Gold ist, was glänzt: Das Safe Harbor Agreement stellte eben kein internationales Abkommen im legalistischen Sinne dar, sondern ist lediglich ein Agreement.
Auf beiden Seiten des Atlantiks konnte diese Vorgehensweise nicht überzeugen. Regelmäßige Überprüfungen ergaben gravierende Mängel. So waren im Jahre 2008 von 1.597 gelisteten Organisationen nur 1.109 noch zertifiziert oder überhaupt noch existent. Sogar nur 348 von ihnen erreichten den Mindeststandard der aufgeführten "Principles". Die größten Defizite gab es im Bereich der Durchsetzung und bei den Konfliktlösungsmechanismen. Außerdem behaupteten 206 Organisationen fälschlicherweise, Mitglieder im Safe-Harbor-Verbund zu sein - einige dieser "Piraten" fälschten sogar Prüfzeichen.
Das EuGH-Urteil
Zunächst waren es die faktischen datenschutzrechtlichen Defizite, die zur europäischen Kritik am Safe Harbor Agreement führten. Doch seit den Snowden-Enthüllungen im Jahre 2013 rückten die invasiven Vorstöße insbesondere von US-Behörden in den Fokus der Datenschutzgemeinde. Das EuGH-Urteil befasst sich genau mit dieser Nuance des Agreements. Anlass dafür war ein Rechtsstreit zwischen dem österreichischen Juristen Max Schrems und der irischen Datenschutzbehörde, der sich auf die datenschutzrechtlichen Regelungen bei Facebook Ireland Inc. bezog. Diese europäische Facebook-Tochter nutzt ganz oder teilweise Server, die sich auf US-Territorium befinden. Sie gewährte US-Behörden bei Überwachungen Zugriff auf personenbezogene Daten und stellte keinen ausreichenden Schutz gegen ebensolche Zugriffe sicher. Unter Verweis auf das Safe Harbor Agreement hatte die irische Datenschutzbehörde die Beschwerde Schrems abgelehnt, die sich gegen diesen Umstand richtete. Mit dem Umweg über die Europäische Kommission, die die USA als zulässiges Drittland eingestuft hatte, landete das Verfahren schließlich beim EuGH.
Der Europäische Gerichtshof betont in seinem Urteil, dass die Regelungen des Safe Harbor Agreements lediglich die amerikanischen Unternehmen erfassen. Weder nationalstaatliche noch bundesstaatliche Behörden seien durch das Abkommen verpflichtet worden. Vielmehr sei diesen ein durch die Unternehmen nicht einschränkbarer Zugriff auf die personenbezogenen Daten europäischer Bürger gewährt worden. Ansatz seien dabei stets Überlegungen der nationalen Sicherheit, des öffentlichen Interesses sowie der Vollzug nationaler oder bundesstaatlicher Gesetze gewesen. Gegen diesen Eingriff in die Grundrechte der EU-Bürger könne in den USA im Zweifelsfall auch kein administratives oder gerichtliches Rechtsmittel eingelegt werden. Die durch den Eingriff belasteten Bürger könnten weder um Zugang zu den erhobenen Daten noch um Berichtigung oder Löschung ersuchen. Sie stehen gleichsam jeder "Entermaßnahme" der US-Behörden schutzlos gegenüber.
Dieses Vorgehen stellt natürlich in sich eine Verletzung europäischer Grundrechte, nämlich auf gerichtlichen Rechtsschutz, dar. Ebenso sei bereits der Umfang der Datenerhebung grundrechtsgefährdend, denn es finde keine Beschränkung auf das Notwendige statt, wie sie als Zulässigkeitskriterium in Europa vorgesehen sei. Nach Ansicht des EuGH werden aufgrund der invasiven Eingriffe und der Eingriffsmöglichkeiten der US-Behörden die Grundrechte der EU-Bürger auf Ebene des Rechtschutzes, des Privatlebens sowie des Datenschutzes so massiv verletzt, dass die USA nicht als Land mit angemessenem Schutzniveau für personenbezogene Daten eingestuft werden kann. Infolgedessen erfülle auch das Safe Harbor Agreement nicht die Vorgaben der Richtlinie 95/46/EG.
Welche Auswirkungen hat eine solche Absage an den Datenschutzansatz der USA und an das Safe Harbor Agreement für die europäische Wirtschaft und europäische Unternehmen? Grundsätzlich werden wohl keine unmittelbaren Auswirkungen zu spüren sein. Wahrscheinlich gilt das Prinzip: Wo kein Kläger, da kein Richter. Zunächst müssten den nationalen Datenschutzbehörden Unternehmen namentlich gemeldet werden, deren konkretes Vorgehen rechtswidrig oder zumindest nicht rechtskonform ist. Die nationale Behörde würde nach einer Prüfungsphase dann ein entsprechendes Statement abgeben.
Auch wenn das Urteil gegen Safe Harbor keine unmittelbare Wirkung hat, dürfte es auf längere Sicht durchaus markante Änderungen auf dem europäischen oder transnationalen Markt geben. Größere Unternehmen wie Facebook, Google und ähnliche Giganten werden auf Server-Landschaften in der EU angewiesen sein, um den Datenschutzvorgaben der EU gerecht zu werden. Dies bedeutet letztlich einen Ausbau der IT-Infrastruktur in Europa. Entsprechend würden auch branchenverwandte und branchennahe Dienstleister wachsende Auftragsvolumina verzeichnen. Grundsätzlich ließe sich aus dem Urteil also eine positive wirtschaftliche Entwicklung in Europa ableiten.
Allerdings haben einige Wirtschaftsexperten und -journalisten bereits angemerkt, dass kleinere Unternehmen, die ebenso auf den transatlantischen Handel angewiesen sind, bei dieser Ausgangslage in einen direkten Konkurrenzkampf mit den besagten Internet-Giganten treten würden: Startup-Unternehmen sowie kleinere, aber auch mittelständische Dienstleister müssten um den Zugang zu Servern bangen - ein starker Wettbewerbsdruck. Letztlich ist wohl von einer positiven wirtschaftlichen Entwicklung in unterschiedlichen Marktsegmenten auszugehen, wenngleich man das Risiko der Übervorteilung kleinerer und mittelständischer Unternehmen nicht vernachlässigen darf.
Mit dem Ende des Safe Harbor Agreements stellt sich die Frage nach einer zukunftsfähigen politischen Lösung. Es wird eine neue Vereinbarung zwischen den USA und der EU geben müssen. Ist damit die Zeit für das Datenschutz-Rahmenabkommen angebrochen? Die Pläne zu diesem Vorhaben liegen schon länger auf Eis.
Politische Lösung?
Die jeweiligen Vorbehalte bewegen sich - schon beinahe symptomatisch - in den traditionell verwurzelten Argumentationsbahnen. Im Fokus der US-Kritik stand vor allem, dass der EU-Entwurf eines Datenschutz-Rahmenabkommens die kommerzielle Interoperabilität als behindernd und sogar als für Konsumenten kontraproduktiv ansah. Zudem wurden negative Auswirkungen auf die Redefreiheit und weitere Menschenrechte befürchtet. Dabei stand insbesondere das "Recht auf Vergessenwerden" im Mittelpunkt. Die USA kritisierten dessen enge Ausgestaltung und stellten dessen technische Umsetzbarkeit in Frage. Zudem hielten die Kritiker die internationale Zusammenarbeit bei der Strafverfolgung und die Interoperabilität von Regulierungsbehörden für gefährdet. Maßnahmen bei EU-Datenschutzbehörden erst anmelden und autorisieren lassen zu müssen, erschien den USA als zu umständlich - dies führe letztlich zu Ineffektivität.
Es zeigt sich, dass die traditionell verwurzelten Datenschutzansätze weiterhin die Entwicklung eines trans- oder gar international einheitlichen Datenschutzes hemmen. Auch das EuGH-Urteil spiegelt letztlich nur die europäische Pfadgebundenheit wider. Ein Rahmenabkommen, so notwendig es nach dem Wegfall des Safe Harbor Agreements auch erscheint, dürfte vor diesem Hintergrund eher in noch weitere Ferne gerückt sein. Die Wellen, die das Urteil geschlagen hat, werden es zumindest in naher Zukunft nicht erleichtern, einen neuen sicheren Hafen zu finden.
Lesen Sie mehr zum Thema
