Datenschützer kündigen “Safe Harbor”-Kontrollen an

Der Austausch von personenbezogenen Daten über die Außengrenzen der EU hinweg bleibt ein schwieriges Thema. Nach Ende des umstrittenen Safe Harbor Abkommens wollen deutsche Datenschützer nun US-Firmen wie Facebook und Google auf deren Umgang mit sensiblen Daten hin abklopfen.

Mit der Ankündigung von Datenschutzkontrollen ergreift Johannes Caspar, Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, stellvertretend für Datenschützer anderer Bundesländer die Initiative nach der Aufkündigung des so genannten Safe Harbor Abkommens. Laut Urteil des Gerichtshofes der Europäischen Union dürfen Unternehmen nicht mehr auf Grundlage dieses Abkommens personenbezogene Daten an US-amerikanische Geschäftspartner und Auftragnehmer übermitteln.

Laut Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder planen die Datenschützer zu prüfen, “ob Unternehmen Daten weiterhin allein auf Grundlage von Safe Harbor in die USA übermitteln”. Diese Prüfung werde “insbesondere bei den Töchterunternehmen von Safe-Harbor-gelisteten US-Firmen erfolgen, die ihren Sitz in Hamburg haben und ihre Daten an die Mutterunternehmen in den USA übersenden.” Damit sind in erster Linie Google und Facebook gemeint. Fällt die Prüfung negativ aus, schließt Caspar auch Untersagungsverfügungen nicht aus.

Wie auch dem Positionspapier hervorgeht, stelle sich nach dem Urteil auch die Frage, inwieweit “andere Übermittlungsalternativen” zulässig sind. Damit beziehen sich die Datenschützer auf Standardvertragsklauseln, die Unternehmen wie Salesforce.com Nutzern vorlegen, wenn diese die Dienste in Anspruch nehmen wollen. Noch ist aber nicht klar, in wie weit solche vertraglich vereinbarten Regelungen auch von dem aktuellen EuGH-Urteil betroffen sind. Wenn dieser Punkt geklärt ist, wolle Caspar auch in diesem Fall das Datenschutzniveau der Unternehmen prüfen.

“In der Zwischenzeit wird eine Übermittlung aufgrund von Standardvertragsklauseln oder verbindlichen Unternehmensregelungen nicht beanstandet”, teilt der Datenschutzbeauftragte mit. Juristen und Datenschutzbeauftragte gehen derzeit davon aus, dass mit dieser Klärung im Januar oder Februar gerechnet werden kann.

Caspar wies in seiner Stellungnahme auch im Namen seiner Amtskollegen noch einmal darauf hin, dass “die politische Verantwortung für die Neuformulierung eines Safe-Harbor-Abkommens, das den rechtsstaatlichen Vorgaben des Europäischen Gerichtshofs folgt, in den Händen der EU-Kommission” liegt. Sie müsse nun in Verhandlungen mit den USA auf ausreichende Garantien zum Schutz der Privatsphäre drängen, zu denen nach europäischem Rechtsverständnis das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und die Beachtung des Grundsatzes der Verhältnismäßigkeit zählen.

Die zuständige EU-Kommissarin Věra Jourová hatte am Montag mitgeteilt, dass die bereits vor dem Urteil aufgenmommenen Gespräche mit US-Behörden intensiviert worden seien und in den kommenden Wochen, “gründliche technische Diskussionen” geführt würden. Sie bereiten einen Besuch von Jourová Mitte November in Washington vor. “Diese Gespräche sind nicht einfach, aber ich bin zuversichtlich, dass wir bis dahin bereits einige Fortschritte gemacht haben”, so die EU-Kommissarin.

Sie wies zudem noch einmal daraf hin, dass das Safe-Harbour-Abkommen ein zentrales Element für den Datenfluss von Europa in die USA war. Angesichts dessen Bedeutung für den transatlantischen Handel und den Alltag der EU-Bürger sei es von größter Bedeutung, die Gespräch mit den US-Behörden zu einem erneuerten vertraglichen Rahmenwerk mit einem besseren Schutzniveau schnell und erfolgreich abzuschließen.

Caspar hält dagegen fest: “Es gilt der Grundsatz: Wer unsere Daten importiert, muss auch einen angemessenen Schutzstandard für diese bereithalten. Wer europäische Daten exportieren möchte, darf dies nur bei Bestehen eines solchen Standards.” Wer von den rechtlichen und politischen Konsequenzen des Urteils unabhängig bleiben wolle, sollte seiner Auffassung nach darüber nachdenken, “personenbezogene Daten künftig nur auf Servern innerhalb der EU zu speichern.”

Aber selbst wenn eine neue Regelung zwischen EU und USA ausgehandelt wird, bleibt offen, inwieweit deren Bestimmungen eingehalten werden. Bereits beim Safe-Harbor-Abkommen bestanden daran erhebliche Zweifel. Beispielsweise hatte sich im Sommer 2014 die Verbraucherschutzorganisation CDD bei der US-Handelsaufsicht FTC darüber beschwert, dass viele US-Firmen, darunter Adobe, AOL und Salesforce.com, ihrer Ansicht nach die EU-Datenschutzgesetze schlichtweg missachten.

[mit Material von Peter Marwan, ZDNet.de]