© EPA

Datenschutz und PRISM
07/25/2013

Iren halten Datenweitergabe an USA für legal

Laut einem informellen Schreiben der irischen Datenschutzbehörde (ODPC) soll die Übermittlung von Daten von EU-Bürgern durch Apple und Facebook an die USA trotz US-Spionage-Programmen wie PRISM rechtlich gedeckt sein. Der Österreicher Max Schrems, der die Beschwerde zur Überprüfung dieser Tatsache in Irland eingebracht hatte, will diese Antwort der Behörde nicht hinnehmen und vor den EuGH ziehen.

von Barbara Wimmer

Nach Enthüllungen des US-Spionageprogramms PRISM hat die Wiener Datenschutzgruppe Europe vs. Facebook in Irland Beschwerden gegen Facebook und Apple wegen möglicher Datenschutzverletzungen eingebracht. In Irland deswegen, weil die irischen Tochterunternehmen von Apple und Facebook für die Daten der EU-Bürger verantwortlich sind. Nun ist seit Mittwochabend die Antwort aus Irland da.

Laut der irischen Behörde steht PRISM im Einklang mit dem „Safe Harbor"-Abkommen. Das Abkommen ermöglicht es Unternehmen, personenbezogene Daten von EU-Bürgern legal in die USA zu übermitteln, obwohl in den USA der Datenschutz nicht wie in der EU abgesichert ist.

Vor 13 Jahren vorausgesehen?
Das bedeutet übersetzt: Facebook und Apple dürfen die Daten von EU-Bürgern weiterhin an die USA übermitteln, trotz US-Spionageprogrammen wie PRISM, die durch das FISA-Gesetz auf US-Boden legal sind. „Im Klartext bedeutet das, dass man jegliche Daten von EU-Bürgern an den NSA weiterleiten darf, so lang man auf der ‚Safe Harbor` Liste der US Behörden steht", erklärt Datenschützer Schrems.

Laut der irischen Behörde habe die EU-Kommission Programme wie PRISM bereits vorausgesehen, wie sie das „Safe Harbor"-Abkommen mit den USA abgeschlossen hat, so die irische Behörde. Das war vor 13 Jahren. Schrems dazu: „Ich bezweifle, dass die Europäische Kommission das auch so sieht."

EU-Kommission: "Safe Harbor gar nicht so safe"
Und tatsächlich, scheint die EU-Kommission dies anders zu sehen als die irische Behörde: "Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das "Safe Harbour"-Abkommen nicht den europäischen Standards entsprechen", erfuhr die futurezone auf Anfrage bei der EU-Kommission.

Die Vizepräsidentin der EU-Kommission Viviane Reding sagte erst vor wenigen Tagen am Rande des informellen Rats der Justizminister in Vilnius: "Das "Safe Harbour" Abkommen könnte letztendlich gar nicht so "safe" sein. Es könnte ein Schlupfloch für Datentransfers darstellen, da es den Datentransfer von EU zu US-Unternehmen erlaubt, obwohl US-Datenschutzstandards niedriger sind als in der EU. Ich habe die Minister darüber informiert, dass die Kommission an einer eingehenden Beurteilung des "Safe Harbour" Abkommens arbeitet, das wir vor dem Ende des Jahres vorstellen werden." Entsprechend dieser Bestandsaufnahme will die Kommission entscheiden, welche weiteren Schritte erforderlich sind, so die EU-Kommission.

In Deutschland sehen das Datenschutzbehörden ebenfalls anders als die irischen "Kollegen". In einem Brief an die deutsche Bundeskanzlerin Angela Merkel forderten sie erst vor wenigen Tagen, dass das „Safe Harbor"-Abkommen mit den USA gekündigt werden sollte, weil das Datenschutzniveau Europas nicht eingehalten werde. „Wo in Deutschland eine massive Grundrechtsverletzung gesehen wird, da sieht Irland nicht einmal einen Grund, eine Untersuchung einzuleiten", fährt Schrems fort. Die irische Behörde sieht nämlich keinen Anlass für eine weitere Untersuchung.

Kein verbindlicher Charakter
Auch die Auskunft Irlands zu den Beschwerden ist nichts weiter als ein informelles Schreiben – mit der Weigerung, eine verbindliche Entscheidung herbeizuführen, die vor Gerichten bekämpft werden könnte. Die Behörde bestätigte gegenüber Schrems, dass sie das Verfahren mit dem Schreiben als „beendet" ansehe. „Unser Eindruck ist, dass die Iren den PRISM-Skandal ignorieren. Wenn es keine Möglichkeit gibt, in Irland zu berufen, könnten wir den PRISM-Fall direkt vor den Europäischen Gerichtshof für Menschenrechte bringen", meint Schrems. Dieser müsste sich dann mit der Frage beschäftigen, ob Irland das Recht von EU-Bürgern auf Privatsphäre wirklich ausreichend beschützt.

Insgesamt sind noch in weiteren Ländern Beschwerden von Europe-vs-Facebook gegen die Unternehmen Yahoo, Microsoft und Skype offen. Für Yahoo ist der deutsche Datenschützer Peter Schaar zuständig. Schrems geht in diesem Fall davon aus, dass die Datenschutzbehörde anders "entscheiden" wird als Irland. Yahoo hat bereits Post von der Behörde bekommen, denn in Deutschland will man der Sache, ob PRISM mit EU-Recht vereinbar ist, tatsächlich auf den Grund gehen.

Mehr zum Thema

  • "Steuertricks bringen Firmen in Zwickmühle"
  • PRISM: "Europe-v-Facebook" zeigt Firmen an
  • EU will Meldepflicht bei Datenweitergabe
  • EU-Datenschutzreform als "große Chance"
  • Details: PRISM erlaubt Echtzeitüberwachung
  • Facebook-Datenleck schlimmer als zugegeben
  • Lobbyplag zeigt: Österreich für EU-Datenschutz