Status quo und Entwicklung von Safe-Harbor 2.0

29. Oktober 2015

Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.

Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.

Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.

Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.

Positionspapier der Datenschutzkonferenz zu Safe-Harbor-Urteil

28. Oktober 2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat in einem nun veröffentlichten Positionspapier zum Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 klar gestellt, dass die deutschen Datenschutzbehörden solche Datenübertragungen in Zukunft untersagen wollen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind, soweit sie davon Kenntnis erlangen. Damit verdeutlichen sie einen ersten Punkt ihrer zentralen Strategie. Des weiteren sind sie sich ebenfalls einig, derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Datenexportverträgen zu erteilen.

Noch Uneinigkeit herrscht hingegen im Umgang mit Übermittlungen personenbezogener Daten in die USA auf Basis der EU-Standardvertragsklauseln. Sie seien nach dem Positionspapier zwischenzeitlich “in Frage” zu stellen, ohne dass jedoch eine einheitliche Vorgehensweise postuliert wird. Der Hamburgische Landesdatenschutzbeauftragte beispielsweise erklärte, dass seine Behörde erst dann eine Datenübermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden geklärt hätten, welche Konsequenzen aus dem o. g. EuGH-Urteil diesbezüglich genau zu ziehen sind. Fest steht jedoch, dass die deutschen Datenschutzbehörden bereits jetzt den transatlantischen Datenverkehr auf Beschwerden hin im Einzelfall überprüfen werden. Vor einer Entscheidung in den jeweiligen Verfahren ist jedoch nicht vor Februar 2016 zu rechnen.

Die britischen und die irischen Aufsichtsbehörden hingegen zeigen eine weniger strenge Haltung: Sie argumentieren hinsichtlich der Folgen des Urteils mit dem Wortlaut der Entscheidungsgründe, der sich allein auf die rechtliche Zulässigkeit des Abkommens beschränke. Sowohl Standardvertragsklauseln als auch Binding Corporate Rules seien von der Entscheidung unberührt, so dass diese nach wie vor rechtliche Grundlage für einen Datentransfer in die Vereinigten Staaten sein sollen.

Die DSK macht ihererseits schließlich deutlich, dass die Verantwortung für eine neue rechtliche Grundlage, die den Vorgaben des EuGH-Urteils Rechnung trägt, bei der EU-Kommission liegt. Diese solle bei den Verhandlungen mit den USA “auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen.” Darüber hinaus seien die Kommissionsentscheidungen aus den Jahren 2004 und 2010 zu den Standardvertragsklauseln schnellstmöglich an die in dem EuGH-Urteil gemachten Vorgaben anzupassen. Die DSK begrüßt die in dieser Sache von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

Beschäftigtendatenschutz: Rechtfertigung des Datenumgangs durch Einwilligungserklärungen

27. Oktober 2015

Lange Zeit wurde nahezu einhellig vertreten, dass Einwilligungserklärungen im Arbeitsverhältnis den Umgang mit Beschäftigtendaten nicht oder nur in speziellen Fällen legitimieren können. Hintergrund dieser Auslegung ist/war, dass § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) als Wirksamkeitsvoraussetzung einer Einwilligungserklärung vorgibt, dass diese auf der freien Entscheidung des Betroffenen beruht. Ob ein Beschäftigter im Rahmen seiner beruflichen Tätigkeit in der Tat frei entscheiden kann, wird/wurde wegen seines Abhängigkeitsverhältnisses oftmals zu Recht bezweifelt bzw. sogar auch grundsätzlich abgelehnt.

Insoweit stellt die Wertung des Bundesarbeitsgerichts (BAG), dass in einer Entscheidung zur Veröffentlichung von Videoaufnahmen eines Beschäftigten feststellte, dass auch im Arbeitsverhältnis eine freie Entscheidung der Beschäftigten im Hinblick auf die Ausübung des Rechts auf informationelle Selbstbestimmung möglich ist, eine Kehrtwendung dar. Der freien Entscheidung eines Beschäftigten stehen – so das Gericht – weder das einem Beschäftigtenverhältnis immanente Abhängigkeitsverhältnis noch ein bestehendes Weisungsrecht des Arbeitgebers entgegen.

Eine Einwilligungserklärung kommt somit als Legitimationsgrundlage im Beschäftigtenverhältnis grundsätzlich in Betracht. Erforderlich ist dafür jedoch (selbstverständlich), dass die übrigen Anforderungen aus dem BDSG einhalten werden. So muss der Beschäftigte genau wissen, welchen Umgang mit seinen personenbezogenen Daten er bestätigt. Die Einwilligung ist dementsprechend transparent und konkret zu gestalten. Ihm sollte darüber hinaus dargelegt werden, dass die Einwilligungserklärung stets mit Wirkung für die Zukunft widerrufen werden kann und die Nichtabgabe der Einwilligungserklärung sowie ein Widerruf keine negativen Auswirkungen auf das Beschäftigtenverhältnis haben. Auch gilt der Grundsatz der Schriftform, wenn nicht besondere Umstände ein Abweichen von der Schriftform rechtfertigen.

Bevor vorschnell der Weg über eine Einwilligungserklärung gewählt wird, sollte unternehmensseitig stets geprüft werden, ob nicht bereits eine (vorrangige) gesetzliche Rechtfertigung für den geplanten Umgang mit Beschäftigtendaten vorliegt. Dann wäre ein Rückgriff auf die Einholung von Einwilligungserklärungen nicht ratsam und in Einzelfällen sogar schädlich. Zudem sollte geprüft werden, ob es sich um einen mitbestimmungspflichtigen Sachverhalt handelt und eine Betriebsvereinbarung die Einholung von individuellen Einwilligungserklärungen ggf. ersetzen kann.

 

Online Banking mittels TAN-Apps in der Kritik

23. Oktober 2015

Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.

Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.

Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.

Oberstes Irisches Gericht ordnet Überprüfung von Facebook an

21. Oktober 2015

Die Grundsatzentscheidung des EuGH vom 6. Oktober 2015 führt zu ersten praktischen Konsequenzen für Facebook Ireland Ltd., dem europäischen Hauptquartier des amerikanischen Unternehmens Facebook Inc.

So urteilte der irische High Court nunmehr, dass die irische Datenschutzbeauftragte verpflichtet sei, die Beschwerde von Max Schremms, die Gegenstand des EuGH-Urteils war, vollumfänglich zu prüfen. Bei dieser Überprüfung werden insbesondere die Schutzmaßnahmen, die bei der Übermittlung personenbezogener Daten von Facebook Ireland Ltd. an Facebook Inc. in den USA gelten, unter die Lupe genommen werden. Facebook küdigte dabei seine “kontruktive Mitarbeit” an.

Die irische Datenschutzaufsicht hatte die Einleitung von Ermittlungen zunächst abgelehnt. Wie genau der Prüfungsprozess ablaufen wird, steht noch nicht fest.

Artikel-29-Datenschutzgruppe: Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig

19. Oktober 2015

In der Pressemitteilung vom 16. Oktober 2015 nimmt die Artikel-29-Datenschutzgruppe zu den Konsequenzen und Folgen des Safe-Harbor-Urteils Stellung.

Die Entwicklung politischer, rechtlicher und technischer Lösungen um einen Datentransfer in die USA, der die Grundrechte der EU-Bürger gewährleistet, zu ermöglichen sei nun von hoher Dringlichkeit. Die bereits seit 2013 laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen könnten hierbei die Grundlage bilden bzw. Teil einer neuen Vereinbarung werden.

Die Artikel-29-Datenschutzgruppe werde die Auswirkungen des Urteils auf die Standardvertragsklauseln und die Binding Corporate Rules weiter untersuchen. Bis auf Weiteres werde der Datentransfer auf Grundlage der genannten Regelungen ausdrücklich als zulässig betrachtet. Standardvertragsklauseln und Binding Corporate Rules seien daher bei Datenübermittlungen weiterhin verwendbar. Dies bedeute jedoch nicht, dass die Aufsichtsbehörden gehindert seien, Datenübermittlungen im Einzelfall, beispielsweise aufgrund von Beschwerden, zu überprüfen.

Bundestag beschließt Gesetz zur Wiedereinführung der Vorratsdatenspeicherung

Am Freitag wurde im Bundestag die Wiedereinführung der Vorratsdatenspeicherung beschlossen. Mit 404 Ja-Stimmen, 148-Nein-Stimmen und 7 Enthaltungen stimmten die Abgeordneten für den Gesetzesentwurf der Bundesregierung (BT-DS 18/5088).

Damit versucht die Bundesregierung erneut die Vorratsdatenspeicherung in Deutschland einzuführen. Bereits im Jahre 2007 hatte die Große Koalition ein Gesetz verabschiedet, welches Telekommunikationsanbieter verpflichtete, sogenannte Verkehrsdaten für einen Zeitraum von sechs Monaten zu speichern. Die Vorschriften zur Vorratsdatenspeicherung waren schon damals auf scharfe Kritik gestoßen und vom Bundesverfassungsgericht für verfassungswidrig erklärt (BVerfG, 1BvR 256/08 vom 02.03.2010, Rn. 1-345). Im Jahr 2014 urteilte der EuGH (EuGH, 08.04.2014 C-293/12 und C-594/12), dass die Richtlinie 2006/24/EG, welche als europarechtliche Grundlage der Vorratsdatenspeicherung diente, gegen die Charta der Grundrechte der Europäischen Union verstößt.

Aus den Urteilen des EuGH und Bundesverfassungsgerichts ergibt sich, dass eine anlasslose verdachtsunabhängige Speicherung von Verkehrsdaten nicht per se unzulässig ist. Nach den Vorgaben von EuGH und Bundesverfassungsgericht kann eine Vorratsdatenspeicherung zulässig sein, wenn rechtliche Vorgaben zur Datensicherheit, Form und Zeit der Speicherdauer sowie Verpflichtungen zur Löschung und Ausnahmen für Berufsgeheimnisträger geregelt sind. Trotz des Umstands, dass der Gesetzgeber die höchstrichterlichen Vorgaben bei der Neufassung der §§ 113a ff. des Telekommunikationsgesetzes (TKG) und §§ 100g f. der Strafprozessordnung (StPO) bedacht hat, erscheint der aktuelle Gesetzesentwurf aus verfassungsrechtlicher Sicht bedenklich.

Die jüngst verabschiedeten Regelungen verpflichten TK-Anbieter, Verkehrsdaten ihrer Nutzer für einen Zeitraum von zehn Wochen und Standortdaten für einen Zeitraum von vier Wochen zu speichern. Verkehrsdaten sind unter anderem die Nummern der beteiligten Anschlüsse sowie Beginn und Ende der Verbindung nach Datum und Uhrzeit. Bei Nutzung des Mobilfunks gehören ebenfalls die Standortdaten sowie die IP-Adresse zu den zu speichernden Daten. Nach Ablauf der genannten Speicherfristen müssen die TK-Unternehmen die Daten innerhalb von einer Woche löschen. Die Speicherung der Daten darf nur in Deutschland erfolgen und die Unternehmen sind verpflichtet, durch modernste Technik den höchstmöglichen Sicherheitsstandart der Daten zu gewährleisten. Strafverfolgungsbehörden können grundsätzlich unter Beachtung des Richtervorbehalts und zum Zwecke der Strafverfolgung bestimmter Straftaten auf die Daten zugreifen. Ein Zugriff auf Verkehrsdaten von Personen, die nach § 53 StPO zeugnisverweigerungsberechtigt sind – wie beispielsweise Ärzten, Rechtsanwälten, Steuerberatern oder Seelsorgern – ist unzulässig. Im Einzelfall ist ein weitergehender Zugriff der Strafverfolgungsbehörden als in den genannten Fällen zulässig. Für die durch die einzelnen Anfragen entstandenen Unkosten sind die TK-Anbieter berechtigt eine Entschädigung zu verlangen.
Auch die der höchstrichterlichen Rechtsprechung angepassten Regelungen zur Vorratsdatenspeicherung stoßen aus verfassungsrechtlicher Sicht auf Bedenken. Auch bei einer Verminderung der Speicherfrist von sechs Monaten auf zehn bzw. vier Wochen, stellt eine anlasslose und verdachtsunabhängige Speicherung von Verkehrs- und Standortdaten einen Eingriff in das Fernmeldegeheimnis nach Art. 10 Abs. 1 Grundgesetz (GG) sowie einen Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG dar. Ob diese Grundrechtseingriffe nach Durchführung einer Interessenabwägung unter Berücksichtigung der Erforderlichkeit, Geeignetheit und Angemessenheit der Vorratsdatenspeicherung verfassungsrechtlich gerechtfertigt sind, ist fraglich.

Aus technischen Gründen müssen bei der Speicherung von SMS auch deren Inhalte gespeichert werden. Damit liegt ein besonders intensiver Grundrechtseingriff vor. Auch der Umfang der zu speichernden Daten ist immens. Wie der Verband der deutschen Internetwirtschaft feststellt, ist es wegen der herrschenden Knappheit von IPv4-Adressen zur Individualisierung eines Anschlusses erforderlich, weitere Daten als allein die Verkehrsdaten zu speichern. Damit besteht die Gefahr, dass immer präzisere Profile der Nutzer erstellt werden können. Der im Datenschutzrecht geltende Grundsatz der Datensparsamkeit, hat an dieser Stelle keine Bedeutung mehr. Eine weitere Folge der umfassenden TK-Überwachung sind sogenannte chilling-effects. Diese beschreiben das Phänomen, dass in Folge der Überwachung die Nutzer ihr ursprüngliches freies Kommunikationsverhalten in ein gehemmtes Verhalten verändern. Unter diesem Kritikpunkt ist auch die Regelung zu betrachten, nach der zwar auf die Verkehrsdaten von Berufsgeheimnisträgern nicht zugergriffen werden darf, diese gleichwohl erst einmal gespeichert werden.

Neben einer Einschränkung von Freiheitsgrundrechten der Nutzer ist die Umsetzung der Speicherpflichten für die TK-Unternehmen mit wesentlichen Nachteilen verbunden. TK-Anbieter müssen nun neue Datenbanken anlegen und pflegen und dabei den gesetzlichen Sicherheitsvorgaben entsprechen. Wie hoch die Kosten für TK-Anbieter sein werden, kann die Bundesregierung bislang nicht abschätzen. Eine Entschädigung der TK-Anbieter für die Investitionen ist jedenfalls nicht vorgesehen. Erst sobald die Investitionen eine erdrosselnde Wirkung entfalten, können TK-Anbieter Hilfen beantragen. Die Kostenpflicht der TK-Anbieter ist insbesondere auch vor dem Hintergrund kritisch zu betrachten, als dass die Strafverfolgung eine originäre Aufgabe des Staates ist und nicht eine von Unternehmen.

Schließlich ist auch der erhoffte Nutzen von besseren Erfolgen bei der Strafverfolgung fraglich. Beweise, dass tatsächlich Ermittlungserfolge auf die Vorratsdatenspeicherung zurückzuführen sind, konnte bislang nicht erbracht werden. Nach Berichten der Süddeutschen Zeitung habe sich die Aufklärungsquote durch die Vorratsdatenspeicherung laut Bundeskriminalamt lediglich um 0,006 Prozent verbessert.

Der nur minimale Nutzen der Vorratsdatenspeicherung zum Zwecke der Strafverfolgung vermag die oben dargestellten Grundrechtseingriffe nicht verfassungsrechtlich rechtfertigen. Wenig überraschend ist es daher, dass bereits jetzt Politiker der Opposition und Bürgerrechtsaktivisten diesen Gesetzesentwurf durch das Bundesverfassungsgericht überprüfen lassen wollen.

Albrecht: Datenschutz-Grundverordnung ist auf dem richtigen Weg

16. Oktober 2015

Einem Beitrag der International Association of Privacy Professionals (IAPP) zufolge, lieferte Jan Philipp Albrecht, stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), grüne Europaabgeordnete und Berichterstatter im Rahmen der Verhandlungen zur Datenschutz-Grundverordnung, am 12. Oktober 2015 einen aktuellen Bericht zum Status Quo der Trilog-Verhandlungen zur Datenschutz-Grundverordnung. In diesem gab er bekannt, dass der Text zu Kapitel 5 (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) bereits finalisiert und die Kapitel II, III und IV (allgemeine Grundsätze, Betroffenenrechte und Regelungen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter) zumindest weitestgehend fertiggestellt seien. Sein Eindruck sei, dass insgesamt eine Einigung über – geschätzte – 70 bis 80 Prozent des Verordungstextes erzielt worden sei. Nichts desto trotz gäbe es noch offene, zumeist politische, Themen, auf die noch einmal zurückzukommen sei.

Insbesondere seien noch folgende Themen zu klären:

  • Die Form und die Bedingungen unter denen die betroffenen Personen eine Einwilligung zu erteilen haben.
  • Wie weit und auf welche Weise die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit im Verordnungstext definiert und reguliert werden sollen.
  • Die konkrete Formulierung in Hinsicht auf die für die Betroffenen notwendigen und dem Transparenzgebot entsprechenden Informationen.
  • Die Rechte und Pflichten von verantwortlichen Stellen und Auftragsdatenverarbeitern, einschließlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (Verpflichtung zur Bestellung); derzeit vertritt der Rat die Auffassung, die Entscheidung über eine verpflichtende Bestellung des Datenschutzbeauftragte den Mitgliedstaaten zu überlassen.

Trotz dieser noch offenen Themen ist Albrecht positiv gestimmt. Er gibt an, eine realistische Chance zu sehen, die Trilog-Verhandlungen – so wie vorgesehen – noch bis Ende dieses Jahres zu beenden. Bis November sollen nicht nur die genannten offenen Themen und Fragen geklärt, sondern es soll sich auch mit den Kapiteln VI und VII beschäftigt werden. Ein weiteres Problem, das noch in Angriff genommen werden muss, sei die Frage – so Albrecht – wie eine bessere und einheitlichere Durchsetzung der Regelungen erreicht werden könne. Auch hier seien sie jedoch zu einer baldigen Entscheidung in der Lage.

 

 

Chance zur positiven Unternehmensdarstellung nach Safe-Harbor-Urteil: Datenschutz als Visitenkarte

Vielen Unternehmen mag das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) Kopfschmerzen bereitet haben. So manches Geschäftsmodell wird in diesen Tagen mit Sicherheit einer kritischen Betrachtung standhalten müssen, an deren Ende es Wege zu finden gilt, Datenflüsse in die USA weiterhin zu legitimieren. Dass Verbraucher und Geschäftspartner betroffene Unternehmen mit Anfragen zum Datenschutz überhäuften, war ein zu erwartender Effekt der EuGH-Entscheidung und nicht zuletzt deren medialer Aufbereitung.

Wie man sich allerdings die öffentliche Aufmerksamkeit auch zu Nutze machen kann, zeigt zum Beispiel der in Köln ansässige Anbieter für Umfrage-Software Questback GmbH. Auf der Homepage des Unternehmens erscheint vorab ein Overlay, über welches zu einer Informationsseite verlinkt wird. Darin wirbt das Unternehmen mit der Tatsache, gerade nicht von den Safe-Harbor-Turbulenzen betroffen zu sein, da Datenverarbeitungen nur innerhalb Deutschland und Europas erfolgen. In der gezielten Ansprache an Auftraggeber, Geschäftspartner und potentielle Neukunden stellt sich Questback insgesamt als zertifizierten, professionellen und vertrauenswürdigen Datenverarbeiter und Dienstleister vor.

Eine gelungene Veranschaulichung, dass gelebter Datenschutz immer auch eine Visitenkarte des Unternehmens darstellt und damit durchaus wertschöpfend genutzt werden kann.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Datenschutz-Showdown mit den USA? Warum eine offene Konfrontation wenig hilfreich ist

Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.

Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.

Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.

Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel “Recht auf Vergessen” bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.

Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.

1 199 200 201 202 203 313