Keine Genehmigungen mehr zum USA-Datenexport nach dem Safe Harbor-Abkommen. Geht das überhaupt?
von , veröffentlicht am 25.07.2013Ausweislich einer Presseerklärung der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013, „fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind."
Diese Erklärung wird in der deutschen Presse so interpretiert, dass die deutschen Datenschutzbeauftragten mitgeteilt hätten, dass sie keine Genehmigungen mehr nach dem Safe Harbor-Abkommen erteilen würden.
Mich wundert diese Auslegung. Das Safe Harbor-Abkommen bzw. die sogenannten Standardvertragsklauseln basieren auf Entscheidungen der EG-Kommission und sind damit - rechtlich gesehen - einer weitergehenden inhaltlichen Überprüfung durch die nationalen Datenschutzbehörden entzogen.
Wundern Sie sich auch? Haben Sie Kommentare?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenAuf bei fehlender weitergehender Überprüfungskompetenz, wäre eine Verweigerung weiterer Genehmigung zur Datenübermittlung ̶a̶n̶ ̶d̶e̶n̶ ̶N̶S̶A̶ in die USA als Akt des übergesetzlichen Notstandes sicherlich gerechtfertigt.
Aber im Ernst:
Ein ausreichender Schutz von in den USA gespeicherten Daten europäischer Bürger und Unternehmen wird durch das Safe-Harbour Abkommen - das ist spätestens jetzt klar - nicht gewährleistet.
Gegen die massenweise, verdachtsunabhängige Sammlung der bei US-Unternehmen vorgehaltenen Daten durch amerikanische Sicherheitsbehörden entfalltet es keinerlei Schutzwirkung. Durch die strafbewehrte Geheimhaltsverpflichtung der in Anspruch genommenen Unternehmen wird darüber hinaus auch das Transparenzprinzip (principle of notice about transfer to third parties) der Safe-Harbour Richtlinien untergraben.
Im Jahr 2000 kam die EU-Kommission trotz der Tatsache, dass dem amerikanischen Recht das Grundrecht auf Datenschutz weitgehend unbekannt ist (es beschränkt sich im Ergebnis auf die eigenen vier Wände), noch zu der Einschätzung, dass bei den Unternehmen, die dem Safe-Harbor-System beigetreten sind, ein angemessener Schutz der Daten europäischer Bürger besteht und somit das EU-rechtliche Übertragunsverbot personenbezogener Daten an Dritt-Staaten nicht greifen würde.
Diese Einschätzung war schon damals umstritten. Sie ist sicherlich mit dem heutigen Wissen nicht mehr vertretbar.
Hinsichtlich der von der Aufsichtsbehörde in Anspruch genommenen Prüfungskompetenz ist die Presserklärung aufschlussreich:
"Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden."
Volltext hier.
Die o.g. Presseerklärung (#2) bezieht sich auf eine Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG). Dort heisst es in Art. 3:
"(1) Ungeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denjenigen des Artikels 25 der Richtlinie 95/46/EG erlassen wurden, zu gewährleisten, können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an eine Organisation auszusetzen, die den Grundsätzen, die entsprechend den FAQ umgesetzt wurden, beigetreten ist, wenn
a) (...)
b) eine hohe Wahrscheinlichkeit besteht, dass die Grundsätze verletzt werden; wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde, und wenn die zuständigen Behörden in den Mitgliedstaaten die Organisation unter den gegebenen Umständen in angemessener Weise unterrichtet und ihr Gelegenheit zu Stellungnahme gegeben haben."
Hierauf stützen sich die Aufsichtsbehörden. Zwar kann das Safe Harbor Abkommen nicht in seiner Gesamtheit für ungültig erklärt werden; die konkrete Übermittlung an ein Unternehmen auf Basis der Safe Harbor Grundsätze ist aber einer Prüfung durch die nationalen Behörden nicht entzogen, im Gegenteil.