Ohne Reformen in den USA und der EU wird auch „Safe Harbor 2.0“ untergehen

„Safe Harbor“ war nie ein sicherer Hafen – wir stellen unsere Forderungen an ein wirklich sicheres Nachfolgeabkommen.
Bild
Das Wrack eines Schiffes liegt auf der Seite in Ufernähe.

„Safe Harbor“ war nie ein „sicherer“ Hafen. Im Oktober 2015 kippte der Europäische Gerichtshof das Datenschutzabkommen zwischen den USA und der EU. Damit ging Unternehmen eine gebräuchliche, aber ungenügende Rechtsgrundlage für den Transfer personenbezogener Daten aus der EU in die USA verloren. Ein solcher Transfer ist seit dem Urteil über „Safe Harbor“ kaum noch datenschutzkonform möglich, weil die anlasslose Massenüberwachung und ungenügend durchgesetzte Datenschutzrechte das Grundrecht auf Privatsphäre brechen. Deshalb sind grundsätzliche Reformen auf beiden Seiten des Atlantiks notwendig:

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und die internationale Vereinigung EDRi (European Digital Rights) haben in Stellungnahmen deutlich gemacht, welche Reformen ein neues Datenschutzabkommen zwischen den USA und der EU überhaupt möglich machen würden. Nach einer Pressekonferenz am 26. Januar 2016 haben wir diese Forderungen an Heiko Maas, Thomas de Maizière und Günther Oettinger übermittelt.

Digitalcourage fordert Politiker.innen und Datenschützer.innen eindringlich dazu auf, sich für rechtskräftigen und in der Praxis wirksamen Datenschutz einzusetzen.

Was ist das Problem mit „Safe Harbor“?

„Safe Harbor“ als Datenschutzabkommen zu bezeichnen, war von Anfang an eine Farce. Faktisch hat das Abkommen nämlich keinen Schutz geboten – im Gegenteil.

Das EU-Datenschutzrecht sieht vor, dass personenbezogene Daten aus der EU nur in solche Länder übermittelt werden dürfen, die einen vergleichbaren gesetzlichen Schutz für diese Daten bieten wie die EU selbst. Das ist in den USA keinesfalls gegeben: Der in den USA verabschiedete „Patriot Act“ beispielsweise regelt, dass US-amerikanische Geheimdienste Zugriff auf Daten erhalten müssen, die bei US-Unternehmen gespeichert sind. Die Betroffenen müssen hierfür nicht informiert werden. Die Gesetzgebung der USA ist in diesem Punkt keinesfalls mit dem EU-Datenschutzrecht vereinbar.

Doch nicht nur die Gesetzgebung in den USA ist ein Problem, auch die bisherigen Regeln im Abkommen sind stark überarbeitungsbedürftig. So mussten Unternehmen bisher nicht nachweisen, dass sie sich an das Abkommen halten – für die Überprüfung der Einhaltung gab es nicht einmal eine Möglichkeit. „Safe Harbor“ hat also nie zum Schutz von Daten aus der EU beigetragen. „Safe Harbor“ ermöglichte es Firmen, von sich selbst behaupten zu dürfen, Daten nach EU-Datenschutzrecht zu behandeln und so mit ihren Rechenzentren ein „sicherer Hafen“ zu sein.

Datenschutz konkret stärken!

Das Papier der Datenschutzkonferenz fasst die Sachlage für in Deutschland tätige Unternehmen zusammen und erklärt unter anderem:

1) Unternehmensregelungen (Binding Corporate Rules, BCR) oder Datenexportverträge sind seit dem „Safe Harbor“-Urteil keine Grundlage für Datentransfers aus der EU in die USA (7)
2) Datenschutzbehörden benötigen ein Klagerecht (11)
3) Die Kommission muss für EU-Bürger.innen umsetzen: das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit (12)
4) Die Bundesregierung wird aufgefordert, auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen. (13)

Notwendige Reformen auf US- und EU-Seite

Ein „Safe Harbor“-Folgeabkommen kann vor dem Europäischen Gerichtshof nur dann standhalten und grundrechtskonform sein, wenn die Reformvorschläge von EDRi und Access Now umgesetzt werden. Dazu gehören:

1) Reform der Überwachungsmaßnahmen in der EU und in den USA, darunter:
– Reform von FISA, Abschnitt 702
– Reform der Executive Order 12333
– Reform der Gesetzgebung der EU-Mitgliedsstaaten zu Überwachung
2) Übereinstimmung der US-Gesetzgebung mit dem Internationalen Pakt über bürgerliche und politische Rechte (UN-Zivilpakt)
3) US-Datenschutzgesetze auf Bundesebene der USA
4) EU-Mitgliedstaaten müssen aufhören, ihre Verantwortung für Menschenrechte zu umgehen, indem sie unzureichend definierte „Angelegenheiten nationaler Sicherheit“ anführen.
5) Reform des Cybersecurity Act von 2015

Weiterer Verlauf

Wie es mit dem Datenschutz zwischen der EU und den USA und innerhalb der EU konkret weitergeht, wird sich demnächst entscheiden. Wegweisende Faktoren für den zukünftigen Datenschutz werden folgende Termine sein:
• 27. Januar 2016: Treffen der Deutschen Datenschutzbeauftragten (Besprechen von Sanktionen und weiterem Vorgehen)
• 2. und 3. Februar: Finale Stellungnahme der Artikel-29-Gruppe (Datenschutzbeauftragter der EU und der Mitgliedsstaaten) zu Sanktionen und Lösungen
• 2. und 3. Februar: Die Europäische Kommission will bis zu diesem Zeitpunkt „Safe Harbor 2“ vorstellen. Dieses Datum kann vermutlich nicht eingehalten werden.
• Ende Februar: Urteil zum Microsoft Prozess in den USA. US-Behörden fordern Zugriff auf die Daten einer europäischen Microsoft-Tochter in Irland. Microsoft klagt dagegen.
• Auf unbekanntes Datum verschoben: Entscheidung des US-Senats zum „Judicial Redress Act“, welcher EU-Bürger.innen wenigstens ein paar Rechte in Bezug auf ihre personenbezogenen Daten in den USA zusagen würde.

Forderungen von Digitalcourage

Digitalcourage fordert:
1) Das Ende der anlasslosen Massenüberwachung sowohl durch US-Behörden als auch durch innereuropäische Staaten zur Wahrung des Menschnerechts auf Privatsphäre.
2) Die vollständige Gewährleistung des Datenschutzes von EU-Bürger.innen – auch im Ausland. Dabei liegen die Mindestvoraussetzungen bei der noch zu verabschiedenden Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union.
3) Den Stopp von Transfers von personenbezogenen Daten ohne Rechtsgrundlage, beziehungsweise wirksame Sanktionen gegen Verstöße gegen den Datenschutz.
4) Die Datenschutzbeauftragten der EU und Deutschlands müssen finanziell und personell besser ausgestattet werden, damit diese ihre Aufgabe besser erfüllen können.
5) Grundlegende Lösungsansätze müssen gefördert werden. Dazu zählt die Datenverarbeitung innerhalb der EU, „Privacy by Design“, die Einrichtung von EU-Dienstleistungen und die Stärkung der Aufsichtsbehörden.

Weiterführende Links