Wie können die hohen Datenschutz-Anforderungen der EU garantiert werden, wenn Unternehmen persönliche Informationen in die USA übermitteln? Schließlich passiert das jeden Tag millionenfach. Entweder, weil Firmen Speicher in den USA nutzen oder weil sie im einfachsten Fall dort ihren Sitz haben und Mitarbeiterdaten in den USA verwalten. Das Safe-Harbor-Abkommen sollte den Unternehmen eine einfache Lösung bieten und den Schutz vor unerlaubtem Zugriff sicherstellen. Bis der Europäische Gerichtshof das Ganze im vergangenen Herbst mit Blick auf die Snowden-Enthüllungen für ungültig erklärte.
"Die Kommission glaubt fest daran, dass wir neue Regeln zum transatlantischen Datenaustausch brauchen, die das alte Safe-Harbor-Abkommen ersetzen werden," erklärte damals die EU-Justizkommissarin Jourova. Die EU-Datenschützer hatten der Kommission dafür drei Monate Zeit gegeben. Vize-Kommissionspräsident Andrus Ansip hatte angekündigt:
"Europa und die USA können das innerhalb von drei Monaten erreichen."
Beratungen in Brüssel am Dienstag
Diese Frist ist mit dem heutigen Tag abgelaufen. Das Ergebnis? Kommissionssprecher Christian Wigand:
"Es laufen derzeit intensive Verhandlungen zwischen der EU-Kommission und unseren amerikanischen Partnern. Es ist für uns zentral, dass wir ein Ergebnis erreichen, dass den Anforderungen, die der Europäische Gerichtshof gestellt hat, entspricht. Aber es wird sicher kein Ergebnis um jeden Preis geben."
Ein neues Abkommen gibt es nicht. Wann mit einem Ergebnis gerechnet werden kann, sei derzeit offen, so Wigand.
Wie die EU-Datenschützer nun weiter verfahren wollen, werden sie auf ihrem Treffen in Brüssel am Dienstag beraten. Die Datenschützer der Bundesländer und des Bundes haben sich bereits vergangene Woche auf ihre Position geeinigt. Der Landesbeauftragte für Datenschutz aus Mecklenburg-Vorpommern, Reinhard Dankert, kündigt an:
"Firmen, die jetzt noch nach Safe Harbor arbeiten, werden dann mit Sanktionen rechnen müssen. Deswegen hatten sie ja auch drei Monate Zeit, sich auf Alternativen vorzubereiten, die zumindest nach geltendem Recht noch möglich sind."
"Zu glauben, dass Bremen Daten schützen kann: Gaga, abwegig!"
Große Konzerne, wie Facebook oder Google, hätten ihren Datentransfer in die USA wahrscheinlich schon auf sogenannte Binding Corporate Rules und EU-Standardvertragsklauseln umgestellt, vermutet Dankert. Ob diese alternativen Rechtsgrundlagen aber mit dem Safe-Harbor-Urteil des Europäischen Gerichtshofes vereinbar sind, sei fraglich. Noch habe einfach niemand geklagt, so Dankert.
Sowieso ist das Instrumentarium der Datenschützer begrenzt:
Sowieso ist das Instrumentarium der Datenschützer begrenzt:
"Also wir müssten auch erst mal tatsächlich herauskriegen, welche Unternehmen übermitteln Daten in die Vereinigten Staaten. Das steht ja nirgendwo draußen am Werkhof dran. Und dann müssten wir kontrollieren: Was habt ihr denn für eine Grundlage? Wenn einer noch Safe Harbor macht, der muss einstellen. Da gibt es das Instrument der Anordnung. Wir gehen dann vor Gericht und sagen: Du musst die Datenverarbeitung einstellen. Und wenn die sich dann wehren, dann gibt es einen Prozess. Also das kann alles schon sehr lange dauern."
...und wird von jedem Bundesland mit seiner eigenen Datenschutzbehörde gemacht. Die Datenschützer in Rheinland-Pfalz hätten bereits eine Liste mit Unternehmen angefertigt, die noch auf Safe Harbor setzten, erklärt Dankert. Ähnliches hört man auch aus Hamburg. Nicht alle Datenschützer sind aber so gut ausgestattet, dass sie ohne Weiteres gegen Unternehmen wie Google oder Facebook vorgehen könnten. Reinhard Dankert muss mit rund 20 Mitarbeitern auskommen. Und so lässt sich auch die Einschätzung zum Datenschutz von Digitalkommissar Günther Oettinger, am Beispiel Bremens, verstehen:
"Zu glauben, dass Bremen Daten schützen kann: Gaga, abwegig!"
Ändern soll sich das erst mit der gerade fertig verhandelten Datenschutzgrundverordnung. Die wird aber erst 2018 in Kraft treten.
