Safe Harbor-Aus: "Schwere Folgen für USA"

Es ist vor allem ein „politisches Erdbeben“, das das EuGH-Urteil zum Ende von Safe Harbor vergangene Woche ausgelöst hatte und weniger ein akutes Problem der heimischen Unternehmen. Auch wenn Verbände der heimischen IT-Industrie vor „Bürokratie und hohen Kosten“ warnen, ändert sich in der Praxis laut Expertenansicht erst einmal nicht viel.

Weiterhin Rechtssicherheit

„Dem Datenfluss zwischen Europa und den USA tut dies keinen Abbruch. Die USA werden jetzt einfach wieder wie jedes andere Land außerhalb des europäischen Wirtschaftsraums behandelt“, erklärt der IT-Rechtsexperte Peter Burgstaller von der FH Oberösterreich. Während EU-Firmen von jeher den Auflagen der nationalen europäischen Datenschutzgesetze unterworfen waren, genügte für US-Unternehmen, die eine Safe Harbor-Zertifizierung hatten, bisher eine bloße Erklärung, personenbezogene Daten aus Europa in den USA "adäquat" zu schützen. Das ist seit dem Aus von Safe Harbor vergangene Woche nicht mehr so.

Die Rechtssicherheit für heimische IT-Unternehmen sei aber weiterhin gewährleistet, der administrative Mehraufwand überschaubar, so Burgstaller. Es werde „Rechtsverletzungen“ geben, meint dazu Erich Schweighofer, Professor für Rechtsinformatik an der Universität Wien, im Gespräch mit der futurezone. Datenschutzbehörden werden allerdings wohl kaum sofort die „Strafkeule“ in die Hand nehmen, die EU-Kommission hat zudem „Leitlinien“ für betroffene Unternehmen versprochen.

Politische Knackpunkte

Auf politischer Ebene dagegen brodelt es, denn das EuGH-Urteil bietet einigen Zündstoff. Der Gerichtshof hat nämlich in seinem Beschluss festgehalten, dass die "nationale Sicherheit" von Drittstaaten in keinem Vertrag mit der EU über die EU-Grundrechte-Charta gestellt werden darf und bei unverhältnismäßiger Massenüberwachung kein „angemessener Schutz“ gewährleistet sei. Bisher waren (und sind) aber derartige Klauseln zur nationalen Sicherheit in allen transatlantischen Verträgen enthalten. Die USA müsste nun also davon abrücken, die "nationale Sicherheit" über alles zu stellen.

Außerdem hielt der EuGH in seinem Beschluss fest: „Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz." Das ist derzeit nicht der Fall.

"Kann kein Safe Harbor Plus geben"

Der Grüne EU-Parlamentarier Jan Philipp Albrecht rechnet nicht damit, dass dies jemals zutreffen wird. „Ich verstehe nicht, dass es nach diesem Urteil noch immer Leute gibt, die sagen: Wir machen jetzt ein Safe Harbor Plus. Wie sollen die Mängel des amerikanischen Rechtssystems geflickt werden? Das geht doch nicht und das muss klipp und klar gesagt werden. In diesem Rechtsrahmen kann es kein Safe Harbor Plus geben“, sagt Albrecht im parlamentarischen Innenausschuss am Montag. Er spielt dabei darauf an, dass EU-Kommissarin Vera Jourova unmittelbar nach dem EuGH-Urteil angekündigt hatte, die Verhandlungen zu Safe Harbor 2 „möglichst rasch“ abzuschließen.

 "Es ist jetzt aber Sache der US-Regierung, beim Datenschutz und beim Rechtsschutz für Europäer nachzubessern", so Albrecht. Für den EU-Abgeordneten war die Reaktion der Kommission daher "enttäuschend". Der Rechtsinformatiker Erich Schweighofer erklärt jedoch, dass die USA bereits einiges getan hätte, um die Rechtslage zu verbessern. "Die parlamentarische wie auch regierungsinterne Kontrolle wurde intensiviert (siehe z.B. den Bericht des Privacy and Civil Liberties Oversight Board (PCLOB) über Massenüberwachung) und Zugriffsmöglichkeiten, die sehr weit waren, wurden eingeschränkt (insbes. USA FREEDOM Act); US-Gerichte nutzen ihre Möglichkeiten des Grundrechtsschutzes besser. Was bis jetzt passiert ist, ist meines Erachtens aber noch zu wenig; und hilft hier nicht, weil der Rechtsschutz für EU-Bürger weiterhin unzureichend ist.", so Schweighofer. 

Auch GCHQ-Überwachung betroffen

Auch der britische Geheimdienst, das GCHQ, ist etwa in der Lage, die Smartphone-Kommunikation sämtlicher EU-Bürger abzuhören und betreibt damit „unverhältnismäßige Massenüberwachung“. „Die Regeln des EuGH-Urteils gelten hier meines Erachtens nach genauso. Hier müssen die Mitgliedsstaaten nun stärker auf die Verhältnismäßigkeit der Überwachung achten und ein Datenzugriff muss zwar im konkreten Fall bei Verbrechensbekämpfung möglich sein, aber nicht uneingeschränkt alle Bürger betreffend“, sagt Schweighofer. Das sieht auch der Datenschutzexperte Andreas Krisch so: "Automatisch ändert sich durch das EuGH-Urteil vielleicht nichts an der Überwachung des GCHQ, aber die Feststellung, dass sowas nicht verhältnismäßig ist, hat großen Wert."

Die US-Regierung wird nun auch einigen Druck von ihren IT-Riesen wie etwa Facebook bekommen. Facebook hat zwar nach außen hin direkt nach dem Urteil kühn gesagt „das betrifft uns nicht“, aber hinter den Kulissen herrscht große Nervosität im Unternehmen. Der irische High Court hat nämlich sehr wohl die Macht, den Datentransfer, so wie er derzeit funktioniert, zu stoppen und den Konzern dazu zu zwingen, europäische Datenzentren einzurichten. Nächste Woche findet dazu in Irland das letzte Hearing vor dem Final Urteil im Fall Max Schrems vs. irische Datenschutzbehörde statt.

Facebook fürchtet Kosten

„Es wäre sehr teuer, unsere Daten so zu teilen, dass sie nur in Europa gespeichert werden“, sagte eine Führungskraft von Facebook dem Irish Independent. „Wir müssten neue Datenzentren in Europa dafür bauen.“ Außerdem müsse Facebook einige Produktentwicklungen zurückfahren, weil es enorm viel Zeit kosten würde, die gesamte Architektur der Datenspeicherung zu verändern.

Die derzeitige Praxis im Unternehmen ist nämlich Folgende: „Wir speichern einige Kopien von jedem Foto, das auf Facebook hochgeladen wird, in mehreren verschiedenen Datenzentren ab, für den Fall, dass unsere Seite zusammenbricht“, sagt der Facebook-Sprecher. Diese Kopien werden in Datenzentren rund um die Welt gespeichert. Die Kosten für eine Umstellung wären enorm.

Wählen aus zwei Übeln

Doch mit dem EuGH-Urteil ist sogar fraglich, ob Serverzentren in Europa überhaupt ausreichen würden. „Das Problem hierbei ist, dass sich die Tochter-Niederlassungen von US-Unternehmen trotzdem an die Regeln der USA halten müssen“, erklärt Schweighofer. „Daher werden Firmen wie Facebook nur aus zwei Übeln wählen können: Entweder sie verletzen US-Recht, oder europäisches Recht.“ Ein hartes Los.