- „Keine Extrawurst für die USA“
Der Europäische Gerichtshof hat das sogenannte „Safe-Harbor-Abkommen“ zwischen Europa und den USA für nichtig erklärt. Anstoß dafür war die Klage des Österreichers Max Schrems. Was das Urteil für Internetnutzer bedeutet und welche Daten betroffen sind, hat Anna Biselli von netzpolitik.org beantwortet
Frau Biselli, wie beurteilen Sie das gestrige Urteil des Europäischen Gerichtshofs, in dem „Safe Harbor“, das Datentransfer-Abkommen zwischen Europa und den USA, für ungültig erklärt wird?
Das war zu erwarten, weil es ja vorher schon eine Entscheidung des Generalanwalts gab, der gesagt hat, dass Safe Harbor ungültig ist. Das Urteil ist dennoch ein positives Zeichen für den Datenschutz in Europa, ein eindeutiges Signal gegen die Blankogenehmigung für die Datenübertragung in die USA. Auch weil festgestellt wurde, dass es in den USA kein Datenschutzniveau gibt, das dem in Europa gleichwertig ist.
Was ändert sich dadurch für die Internetnutzer von Facebook, Google, Apple und Microsoft?
Die Internetnutzer werden erst mal wenig davon merken, weil es zunächst um rechtliche Fragen geht. Es gab im Vorfeld des Urteils Alarmisten, die meinten, wenn das Urteil so wird, dann wird das Internet zusammenbrechen, weil es keine Datenübertragung mehr geben kann. Wir müssen uns aber auch klar machen, dass Safe Harbor eine Entscheidung für die USA war und dass es auch noch andere Länder außerhalb Europas gibt, in die Daten übertragen werden. Von daher geht es jetzt darum, die Datenübertragung in die USA auf dieselbe rechtliche Grundlage zu stellen wie die Datenübertragung in andere außereuropäische Länder. Es könnte im Idealfall dazu kommen, dass auch bei Datenübertragungen in die USA wirklich überprüft wird, ob europäische Datenschutzbestimmungen eingehalten werden. Das wird die Zukunft zeigen müssen, das Urteil hat einen Grundstein dafür gelegt.
Welche Regeln gelten denn für andere außereuropäische Länder?
Zum Beispiel muss es eine Einwilligung in die Datenverarbeitung geben, die Datenverarbeitung muss verhältnismäßig und notwendig sein, es dürfen nicht mehr Daten als notwendig gespeichert werden und es muss sichergestellt sein, dass die Daten vor fremdem Zugriff geschützt sind. Es gibt keine Extrawurst für die USA mehr nach diesem Urteil.
Wer kontrolliert das jetzt?
Das machen die Datenschutzbehörden der Länder. Der EuGH hat in seinem Urteil auch gesagt, dass die so etwas prüfen müssen, auch wenn eine Entscheidung der EU dagegen spricht. Weil sie eben dafür verantwortlich sind, zu prüfen, ob Grund- und Datenschutzrechte eingehalten werden. Und damit hat der EuGH entschieden, dass die Datenschutzbehörde von Irland die Übertragung zu Facebook in den USA prüfen muss. Das war Grundlage der Klage von Max Schrems, der sich bei Irland beschwert hatte und als Antwort bekam: „Dafür sind wir nicht zuständig, denn es gibt ja die Safe Harbor-Entscheidung der EU-Kommission und die steht über unserer nationalen Datenschutzbehörde.“
Hat Irland das vielleicht auch gesagt, weil sie sich vor der Arbeit gescheut haben? Immerhin laufen dort die Daten von 307 Millionen europäischen Facebook-Nutzern zusammen.
Sicherlich sind die Datenschutzbehörden chronisch überlastet. Wir haben auch in Deutschland das Problem, dass die extrem unterbesetzt sind und spontane Kontrollen außerhalb von einem konkreten Anlass einfach nicht stattfinden können. Was wir aber auch bedenken müssen, ist, dass der Sitz von Facebook in Irland ein enormer Wirtschaftsfaktor ist. Es gibt ziemlich viele datenverarbeitende Unternehmen aus den USA, die in Irland ihren Sitz haben, eben weil dort die Durchsetzung von Datenschutzrichtlinien relativ lax gehandhabt wird. Wenn es für diese Unternehmen schwieriger wird, weil sie einer besseren Kontrolle unterstehen, könnten sie schlimmstenfalls aus Europa wegziehen.
Facebook hat gesagt, dass das Urteil für das Unternehmen keine Auswirkungen hat, weil man dort sowieso nicht nach der Safe Harbor-Regelung arbeitet, sondern nach privaten Verträgen. Bleibt also doch alles beim Alten?
Es wird jetzt erst mal explizit geprüft werden müssen, ob diese privaten Verträge mit dem EU-Recht konform sind. Und dann steht noch die Frage im Raum: Kann es überhaupt ein angemessenes Datenschutzniveau in den USA geben, wenn die US-Gesetze sagen, dass Daten auf Verlangen der Strafverfolgungsbehörden oder -dienste herausgegeben werden müssen? Also wie man mit dem inneren Widerspruch umgeht zwischen dem Schutz der europäischen Daten vor unberechtigtem Zugriff von Strafverfolgungsbehörden und der US-Gesetzgebung, die ihre Unternehmen verpflichtet, diese Daten herauszugeben.
Geht es nur um Daten, die ab jetzt auf Facebook, Google usw. einlaufen oder auch um ältere?
Es geht um alle Daten. Daten, die gespeichert sind und auch Daten, die in Zukunft erhoben werden.
Die EU-Kommission und das US-Handelsministerium verhandeln gleichzeitig über eine neue Version von Safe Harbor. Was versprechen Sie sich davon?
Schon 2013, nach den Enthüllungen von Edward Snowden, gab es eine Erklärung der EU-Kommission, die besagte, dass es eine neue und bessere Version von Safe Harbor geben müsse. Was wir aber gestern gesehen haben, als die EU-Kommissare ein Pressestatement abgegeben haben, ist, dass die eigentlich davon ausgehen, dass alles schon total super ist und wir nur noch ein „safer safe harbor“ brauchen. Ich weiß nicht, wie ehrlich die Bestrebungen in der Hinsicht sind, da wirklich etwas Wirksames durchzusetzen oder ob man ein weiteres kosmetisches Abkommen trifft, das dann wirkungslos bleibt. Ich denke, da müssen wir abwarten und sehen, was die Kommission genau tut.
Widerstrebt es Ihnen grundsätzlich, die USA als „sicheren Hafen“ zu bezeichnen?
Ich glaube nicht, dass wir ein Land als sicheren Datenhafen bezeichnen können, in dem es quasi Standard ist, Daten an US-Geheimdienste und Strafverfolgungsbehörden weiterzugeben ungeachtet irgendwelcher Grundrechtsverletzungen etc. Vor allem, wenn in der amerikanischen Rechtsauffassung ganz deutlich wird, dass Grundrechte von US-Personen geschützt werden und nicht die von Bürgern anderer Länder. Auf dieser Grundlage kann man nicht vertrauensvoll arbeiten.
Befürchten Sie, dass die EU-Kommission zu US-freundlich verhandelt?
Die Erfahrung hat gezeigt, dass es vermutlich so sein wird. Das ist natürlich auch eine Wirtschaftsfrage. Es ist nicht nur im Interesse von US-Unternehmen, sondern auch europäische Unternehmen wollen Daten in die USA übertragen, weil es dort Datenverarbeitungsdienste gibt, für die es wenige europäische Alternativen gibt. Es gab zum Beispiel eine Anfrage von jemandem, der besorgt ist, dass sein Kassensystem nicht mehr funktioniert, weil das einzige Kassensystem in diesem speziellen Marktsegment aus den USA kommt und auch die Daten dort verarbeitet werden.
Haben Sie Verständnis für diese Anliegen von kleineren Unternehmen?
Natürlich habe ich Verständnis, aber das ist eine falsche Voraussetzung. Wenn man sich jetzt Gedanken darüber machen muss, ob Wirtschaftsmodelle gefährdet sind, dann muss im Vorfeld schon etwas schief gelaufen sein.
Wie erklären Sie es, dass sich so wenig Menschen für den Schutz ihrer Daten im Internet interessieren?
Das begründet sich relativ einfach damit, dass das eine abstrakte Problematik ist. Wir merken im Endeffekt nicht, wenn unsere Privatsphäre verletzt wird. Wir sind es gewohnt, unsere Daten preiszugeben, auch, um dadurch Vorteile zu erlangen, um einfacher kommunizieren zu können oder irgendwelche Angebote im Internet nutzen zu können. Nachteile, dass zum Beispiel Persönlichkeitsprofile angelegt werden, kriegt man selten wirklich mit. Es tut meist erst weh, wenn es zu spät ist.
Anna Biselli schreibt für netzpolitik.org. Sie hat Informatik studiert und forscht darüber, wie man Datenschutzbestimmungen und Privacy-Niveaus bei der Software-Entwicklung formalisieren und beweisen kann.
Das Interview führte Lena Guntenhöner
Bei älteren Beiträgen wie diesem wird die Kommentarfunktion automatisch geschlossen. Wir bedanken uns für Ihr Verständnis.