Kaum jemand, der Facebook & Co. nutzt, kennt die Safe-Harbour-Vereinbarung. Sie regelt den Datenexport von Europa in die USA und betrifft fast jeden, der sich im Internet bewegt. Was sind die Grundzüge von Safe Harbour und wo liegt das Problem?
Informationen über Europäer dürfen nur dann ins EU-Ausland gelangen, wenn dort ein „angemessenes Datenschutzniveau” existiert. Eigentlich. So fordert es – vereinfacht ausgedrückt – das europäische Recht. Genauer gesagt, sind solche Daten geschützt, die auf eine Person bezogen werden können und in Europa erhoben worden sind.
Wie kann es also sein, dass überhaupt Daten in den Zugriffsbereich von US-Geheimdiensten gelangen? Die Antwort ist einfach: Die EU-Kommission hat vor über zehn Jahren entschieden, dass Unternehmen Daten exportieren dürfen, wenn sie sich an bestimmte Regeln halten. Für sie gilt eine Ausnahme.
Der amerikanische und der europäische Ansatz beim Datenschutz
Die Europäische Union und die USA verfolgen sehr unterschiedliche Herangehensweisen beim Datenschutz. In der EU wird der Schutz der Privatsphäre als Grundrecht betrachtet. Die informationelle Selbstbestimmung – zu wissen, wer was über einen weiß – hält das deutsche Bundesverfassungsgericht sogar für eine „Funktionsbedingung eines (…) demokratischen Gemeinwesens”, wie es im Volkszählungsurteil feststellte. Entsprechend gibt es hierzulande eine umfassende Gesetzgebung darüber, wie Datenverarbeiter mit personenbezogenen Daten umzugehen haben.
Anders in den USA: Zwar forderten auch in Washington Politiker in den vergangenen Jahren immer wieder, den Schutz der Privatsphäre besonders im Internet stärker zu regulieren. Umgesetzt sind bisher aber nur sehr punktuelle Regelungen. Es gibt zum Beispiel den „Video Privacy Protection Act”, der dafür sorgen soll, dass niemand erfährt, welche Filme man ausgeliehen hat. Einzelne Länder wie Kalifornien haben auch weitergehende Bestimmungen, etwa die Pflicht, Datenschutzerklärungen auf Internetseiten zu veröffentlichen.
Insgesamt setzt man bisher aber eher auf die sogenannte Selbstregulierung. Das heißt, Unternehmen verpflichten sich, sich an bestimmte Regeln im Umgang mit den Daten ihrer Kunden zu halten. Wer schlechte Praktiken etabliert, dem werden schon die Kunden ausbleiben – so der marktliberale Gedanke dabei. Auch ein Ansatz.
Wie funktioniert Safe Harbour?
Schwierig wird es jedoch, wenn die Kunden eines US-Dienstes in Europa sitzen: Der US-amerikanische und der europäische Ansatz prallen aufeinander. Europäische Verbraucher sollten damit rechnen dürfen, dass Anbieter, die sich an sie richten, auch europäisches Recht einhalten. Das ist ein anerkanntes Grundprinzip. Als Lösung für dieses Dilemma haben sich amerikanische Unternehmen eine besondere Form der Selbstregulierung ausgedacht: Sie behaupten, einen sicheren Hafen für europäische Daten geschaffen zu haben, die „Safe Harbour Principles”.
Die Safe-Harbour-Prinzipien sind einigen Grundregeln des europäischen Rechtes nachgebildet. So heißt es in den Prinzipien etwa:
- Die Daten müssen technisch vor fremden Zugriffen geschützt sein.
- Sie dürfen nur gesammelt werden, wenn der Betroffene zugestimmt hat und auch nicht ohne dessen Wissen weiter gegeben werden.
- Es gibt Informationspflichten und Auskunftsrechte.
- Sogar die Zweckbindung soll gelten: Daten dürfen nur für den Zweck verwendet werden, dem der Betroffene zugestimmt hat.
Ein Unternehmen, das sich öffentlich auf der Internetseite der US-Handelskommission FTC zur Einhaltung dieser Prinzipien bekennt, darf die Daten seiner europäischen Kunden in den USA verarbeiten. Gleichzeitig unterwirft sich das Unternehmen auch einer gewissen Kontrolle durch die FTC. Diese hat zwar nicht die gleichen Befugnisse wie Datenschutzbehörden hierzulande, kann aber im Einzelfall durchaus erheblichen Druck entfalten.
Grundlage hierfür ist übrigens kein Abkommen, wie es hin und wieder heißt, denn es gibt hierzu keinen Vertrag zwischen der EU und den USA. Die EU-Kommission kann vielmehr im Einzelfall anerkennen, dass ein Land ein angemessenes Datenschutzniveau hat, und die Daten dort verarbeitet werden können. Natürlich ist „Safe Harbour” selbst kein Land; eigentlich ist es noch nicht einmal ein sicherer Hafen, wie wir jetzt wissen. Aber die EU-Kommission hat im August 2000 unter erheblicher Dehnung der rechtlichen Vorgaben entschieden, dass die Safe-Harbour-Prinzipien ausreichen und ein angemessenes Schutzniveau für Europäische Verbraucher gewährleisten.
Zugriffe durch US-Behörden
Auch für Daten bei US-Anbietern gilt nach Safe Harbour also das Zweckbindungsprinzip. Wie ist der Zugriff durch US-Geheimdienste dann mit den Safe-Harbour-Prinzipien zu vereinbaren? Hier liegt die Antwort ebenfalls in einer Ausnahme: Das zugrundeliegende Dokument nimmt den Bereich der nationalen Sicherheit und der Strafverfolgung pauschal aus der Vereinbarung aus.
Das hat die Europäische Kommission im Jahr 2000 jedoch nicht von ihrer Entscheidung für die Vereinbarung abgehalten. Auch als die Entscheidung im Jahr 2004 überprüft wurde, kam man zum gleichen Ergebnis. Ob das so klug war, ist zweifelhaft: Kritische Studien hat die Kommission damals zwar in Auftrag gegeben, aber dann doch lieber nicht veröffentlicht.
In jüngerer Zeit steigt der Druck auf die Kommission Safe Harbour zu kippen. Die Datenschutzbehörden des Bundes und der Länder haben mehrfach unabhängig voneinander und schließlich auch gemeinsam am 24. Juli 2013 eine kritische Überprüfung dieser Entscheidung angemahnt. Das Europaparlament hat im März 2014 in einer Entschließung die Kommission aufgefordert, Safe Harbour auszusetzen. Und selbst die ehemalige EU-Justizkommissarin Viviane Reding hat mittlerweile Zweifel am „sicheren Hafen” formuliert.
Zivilgesellschaftliche Initiativen wie Europe-v-Facebook oder der Datenschutz-Aktivist Alexander Hanff haben bereits gefordert, die Safe-Harbour-Vereinbarung auszusetzen. Dies beschäftigt unterdessen den Europäischen Gerichtshof. Auf eine Klage des österreichischen Aktivisten Max Schrems von Europe-v-Facebook vor dem irischen High Court hat letzterer dem Europäischen Gerichtshof die Frage zur Überprüfung vorgelegt, ob die Safe-Harbour-Entscheidung mit europäischen Vorgaben vereinbar ist. Das Gericht kann damit die Frage der Kommission aus der Hand nehmen und Safe Harbour für unwirksam erklären. Offen ist, wie die Sache ausgeht.
Was wäre ohne Safe Harbour?
Über die Konsequenzen, falls die EU ihre Entscheidung zurücknimmt, kann nur spekuliert werden. Sie wären vermutlich durchaus weitreichend: Ohne Safe Harbour dürfte eine Vielzahl der in Europa angebotenen Internetdienstleiste nicht ohne weiteres zulässig sein. Facebook beispielsweise speichert zwar auch Daten in Europa, aber alle Daten liegen vermutlich ebenfalls in Rechenzentren in den USA. Ob das weltweit größte soziale Netzwerk kurzfristig seine Infrastruktur so anpassen könnte, dass entsprechende Datenbestände nur in Europa gespeichert sind, ist zweifelhaft.
Auf die Frage, wie die Datenschnüffelei amerikanischer und europäischer Geheimdienste eingehegt werden kann, liefert Safe Harbour also direkt keine Antwort: Der Zugriff durch US-Behörden wurde ja von vornherein ausgeklammert. Die Wirkung wäre vielmehr indirekt, indem diejenigen Internet-Unternehmen ins Visier geraten, bei denen die Geheimdienstprogramme dann andocken. Setzt die EU die Vereinbarung aus, würde sie deutlich machen, dass sie Daten europäischer Bürger bei US-Unternehmen nicht für sicher hält – im Extremfall müssten sich Anbieter wie Facebook vom europäischen Markt zurückziehen.
So oder so: Es rächt sich jetzt, dass man nicht schon früher intensiv versucht hat, eine datenschutzfreundlichere Infrastruktur und ein dazu passendes völkerrechtliches Regelsystem zu etablieren. Falls die Kommission ihre Entscheidungen pro Safe Harbour zurücknimmt, wäre das Thema jedenfalls ganz oben auf der politischen Agenda angekommen.