„Safe Harbor“ – Von wegen sicherer Hafen
Update 6.10.2015, 10 Uhr: Der EuGH hat entschieden: Das Abkommen „Safe Harbor“ ist nicht zulässig.
„Safe Harbor“ ist ein Abkommen mit den USA, das Daten europäischer Verbraucher.innen schützen soll. Praktisch tut es das Gegenteil, und deshalb steht es jetzt auf dem Prüfstand vor dem Europäischen Gerichtshof. Am 6. Oktober 2015 wird entschieden, ob die EU sich weiter zum Narren(schiff) halten lässt.
Ein sicherer Hafen für unsere Daten außerhalb der EU?
Safe Harbor ist ein Abkommen aus dem Jahr 2000 zwischen der EU und den USA in Bezug auf den Umgang mit personenbezogenen Daten. Hintergrund des Abkommens ist, dass das EU-Datenschutzrecht Vorkehrungen vorsieht, um personenbezogene Daten vor dem Zugriff durch Dritte zu schützen (zum Beispiel durch andere Unternehmen und Geheimdienste). Das beinhaltet auch, dass Unternehmen mit Standort in der EU personenbezogene Daten eigentlich nur in solche Länder außerhalb der EU übermitteln dürfen, die einen vergleichbaren gesetzlichen Schutz dieser Daten gewährleisten wie die EU. Dies trifft auf die USA nachweislich nicht zu. Dieses Verbot der Datenweitergabe sehen viele Unternehmen als Problem. So ist es eher die Regel als die Ausnahme, Daten über „Cloud-Dienste“ auf den Servern US-amerikanischer Unternehmen zu speichern und zu verarbeiten. Wenn ein solcher „freier Datenfluss“ zwischen Unternehmen nicht mehr möglich wäre, müssten Unternehmen aus Deutschland sich umorientieren. Viele Cloud-Dienste würden nicht mehr funktionieren. „Safe Harbor“ sollte Abhilfe schaffen, indem es Regeln formuliert, die den Datenfluss auch in die USA legitimieren. Im Wesentlichen geht es hier also um einen lange bestehenden Konflikt zwischen „freiem Datenfluss“ und dem Recht auf informationelle Selbstbestimmung. Wir selbst haben „Safe Harbor“ immer nur als bürokratisches Feigenblatt wahrgenommen, nicht als tatsächliche Lösung eines Datenschutz- und Datensicherheitsproblems.
Grundprinzipien des Datenschutzes in „unternehmerischer Selbstkontrolle“
Um die Übermittlung personenbezogener Daten in die USA zu ermöglichen, können sich US-Unternehmen im Rahmen des „Safe Harbor“-Abkommens dazu verpflichten, sich an verschiedene Grundprinzipien zu halten, die den mangelnden gesetzlichen Schutz in ihrem Land kompensieren sollen. Diese Prinzipien beinhalten zum Beispiel, dass Verbraucher.innen darüber informiert werden müssen, wenn ihre Daten an Dritte weitergegeben werden, und der Weitergabe ihrer Daten widersprechen können. Kontrollen gibt es allerdings keine. Die Unternehmen selbst sollen sicherstellen, dass die tatsächliche Durchsetzung der „Safe Harbor“-Prinzipien gewährleistet ist. Ein Versprechen genügt: Sichern US-Unternehmen das Einhalten dieser Prinzipien zu, ist es europäischen Unternehmen erlaubt, personenbeziehbare Daten zu übermitteln.
Das gefährliche Märchen vom „sicheren Hafen"
Das „Safe Harbor“-Abkommen steht seit seiner Einführung massiv in der Kritik. Die Vorgaben sind zum Teil so schwammig, dass auch ihre Umsetzung Auslegungssache des jeweiligen Unternehmens bleibt. Darüber hinaus gibt es keine Möglichkeit, das Einhalten der zugesicherten Prinzipien auch zu kontrollieren. Die betreffenden Unternehmen selbst haben keine Nachweispflicht, auch die Datenschutzbeauftragten des Bundes und der Länder in Deutschland haben keine faktische Handhabe. So ist es vermutlich eher die Ausnahme als die Regel, dass „Safe Harbor“-zertifizierte Unternehmen personenbezogene Daten tatsächlich schützen – ein Schutz, ohne den die Übermittlung personenbezogener Daten in die USA schlichtweg illegal ist. Im konkreten Fall hat der EuGH über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten Max Schrems gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.
Die letzten 15 Jahre haben gezeigt, dass eine Umsetzung der „Safe Harbor“-Prinzipien in den USA quasi unmöglich ist. Sie widersprechen der dortigen Gesetzgebung in wesentlichen Teilen. Der in den USA verabschiedete „Patriot Act“ von 2004, sieht vor, dass US-amerikanische Geheimdienste Zugriff auf Daten erhalten müssen, die bei (US-)Unternehmen gespeichert wurden. Dieser Zugriff geschieht, ohne dass Betroffene informiert werden oder widersprechen können. Bisher sah die Politik in diesem eklatanten Widerspruch kein Problem. Eine Position, die zunehmend schwieriger zu verteidigen ist, da mehr und mehr Enthüllungen über gängige Praktiken US-amerikanischer Geheimdienste die Wertlosigkeit von „Safe Harbor“ unterstreichen. Unterstellt man jedoch, mit einiger Bitterkeit, dass der einzige Zweck dieses Abkommens darin besteht, den (derzeit ohnehin eher kläglichen) EU-Datenschutz auszuhebeln, ist das Abkommen selbstverständlich als „äußerst erfolgreich“ zu werten. Die mythisch anmutenden Erzählungen von einen „sicheren Hafen“ verschleiern, dass es sich in Wahrheit um ein Irrlicht handelt, das unsere Persönlichkeitsrechte ins sichere Verdeben steuert.
Datenschutz als Marktvorteil
Der Schutz personenbezogener Daten vor Zugriffen durch Dritte ist ein zentrales Grundrecht funktionierender Demokratien. Eine Aufweichung dieses Grundrechts – und dies stellt „Safe Harbor“ im Wesentlichen dar – hat erwiesenermaßen fatale gesellschaftliche Folgen, die in letzter Konsequenz jede.r Einzelne von uns zu spüren bekommen wird. Auch wenn von Befürworter.innen des ungeregelten Datenflusses stets wiederholt wird, dass Datenschutz Wirtschaft unmöglich machen würde, halten wir dagegen: Mangelnder Datenschutz zerstört nicht nur die freien Gesellschaften, sondern darüber hinaus auch die Märkte. Denn wenn uns etwas an unseren Freiheitsrechten und der Demokratie liegt, darf Skrupellosigkeit nicht zum Wettbewerbsvorteil werden. Unternehmen müssen sich bei der Planung neuer Angebote darauf verlassen können, dass sie gleiche Marktchancen haben, wenn sie sich an Grundrechte halten. Für die vielen Möglichkeiten, die die globale digitale Vernetzung bietet, braucht es klug und fair konzipierte Produkte, damit alle Menschen gefahrlos – oder zumindest nur mit abschätzbaren Risiken – am globalen Datenwohlstand teilhaben können.
Mythbusting – „Safe Harbor“ unter Beschuss
Der Generalanwalt des Europäischen Gerichtshofs Yves Bot hat beantragt, das „Safe Harbor“-Abkommen für ungültig zu erklären. Eine lange überfällige Reaktion der Justiz, die wir überaus begrüßen. Die Chancen scheinen gut, weil das Gericht erfahrungsgemäß oft der Einlassung des Generalanwalts folgt. Wir stärken somit gerne dem Kläger, Max Schrems von Europe_vs_Facebook den Rücken in diesem Verfahren, bei dem er auch selbst anwesend sein wird.
Vor Gericht und auf hoher See sind wir alle in Gottes Hand. In diesem Sinne heißt es heute, wenn der Fall „Safe Harbor“ in Luxemburg verhandelt wird, Daumen drücken – oder beten.
Bild: Sebastian Brant, gemeinfrei; abfotografiert von jwyg CC BY SA
Autor.innen: Ricarda Moll (aus der AG-Text), Leena Simon, padeluun, Korrekturen durch Sebastian Lisken
Weiterführende Links
- Stellungnahme des Unabhängigen Landeszentrums für Datenschutz
- Netzwerk Datenschutzexpertise: Folgen der Safe-Harbor-Entscheidung des EuGH
- Pressemitteiling von Jan Philipp Albrecht, EU Abgeordneter
- Danny O'Brien und Rainey Reitman (Electronic Frontier Foundation): The Privacy Shield is Riddled with Surveillance Holes
- Golem.de: EuGH-Generalanwalt hält Daten in den USA für unsicher
- Digitalcourage Blogartikel über Diskussion mit Whistleblowern
- Digitalcourage Blogartikel zur Klage gegen Facebook
- BigBrotherAwards Laudatio für die Cloud
- Galexia Studie: The US Safe Harbor – Fact or Fiction? (2008)
Offline-Quellen
Marnau, N. & Schlehan, E. (2011). Cloud Computing und Safe Harbor. Datenschutz und Datensicherheit, 5, 311-316.
Korrektur (5.10.15 15:00 Uhr): 11. Oktober korrigiert zu 6. Oktober.
Update (5.10.15 17:34 Uhr): Zwei Links (BBA und Galexia) hinzugefügt.
Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.