Cloud und Datenschutz in Einklang bringen

Seit dem 6. Oktober 2015 ist es amtlich: Das seit dem Jahr 2000 geltende Safe-Harbor-Abkommen (2000/520/EG) ist nicht mit dem europäischen Datenschutzrecht vereinbar und deshalb ungültig. So entschied höchstrichterlich der Europäische Gerichtshof (EuGH). Dass es überhaupt zu diesem Urteil kommen musste, ist unverständlich, denn die gravierenden Mängel der „Safe Harbor Principles“, mit deren Einhaltung US-Firmen Datenschutz auf EU-Niveau garantieren wollten, waren seit Jahren bekannt.„Die deutschen Datenschutzbehörden haben schon seit Langem darauf hingewiesen, dass Safe Harbor Defizite hat“, sagt Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Bereits 2010 stellte eine australische Studie fest, dass von den 2170 US-Unternehmen, die von sich behaupteten, Safe Harbor zu respektieren, 940 keine Angaben darüber machten, wie sie die garantierten Einspruchsmöglichkeiten umgesetzt haben. Und über 300 Unternehmen verlangten für die Bearbeitung von Beschwerden Gebühren von bis zu 4000 Dollar. „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen.“ Das sagte Thilo Weichert, damals Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, angesichts dieser desaströsen Ergebnisse.

Selbst der EU-Kommission, die das Abkommen verhandelt und immer verteidigt hatte, kamen im Zuge der Snowden-Affäre Zweifel: „Angesichts der festgestellten Schwachstellen kann das Safe-Harbor-System nicht wie bisher fortgeführt werden“, schrieb sie in einer im November 2013 verfassten Mitteilung (COM [2013] 846 final) an das Europäische Parlament und den Rat. 

Eine Aufhebung des Abkommens wollten die Politiker allerdings vermeiden: „Die Kommission ist (…) der Auffassung, dass das Safe-Harbor-System eher gestärkt werden sollte“, heißt es in dem Papier weiter. Die Verfasser weisen außerdem ausdrücklich darauf hin, dass europäische Datenschutzbehörden nach Artikel 3 der Safe-Harbor-Entscheidung die Datenübermittlung auf Basis von Safe Harbor auch aussetzen könnten. Dass so wenige von dieser Möglichkeit Gebrauch machten, sieht der Europäische Datenschutzbeauftragte Giovanni Buttarelli aber nicht als Versagen an: „Nachdem das Safe-Harbor-Verfahren angenommen worden war, waren den Datenschutzbehörden gewissermaßen zunächst durch die Entscheidung der Europäischen Kommission die Hände gebunden.“

Erst die Klage einer Privatperson, des österreichischen Studenten Maximilian Schrems, brachte das Abkommen zu Fall. Schrems hatte 2011 damit begonnen, gegen die Datensammelwut des US-Anbieters Facebook vorzugehen, war aber zunächst an den irischen Datenschutzbehörden gescheitert, die aufgrund des europäischen Firmensitzes von Facebook in Irland für das Verfahren zuständig waren. Sie vertraten die von Buttarelli bereits angesprochene Haltung: Safe Harbor ist nach Auffassung der Europäischen Kommission sicher, eine Überprüfung nicht notwendig und auch nicht möglich. 

In der Folge der NSA-Affäre kassierte das oberste irische Zivilgericht 2014 jedoch die Entscheidung der irischen Aufsichtsbehörde und verwies den Fall an den EuGH. Dieser erklärte an besagtem 6. Oktober die „Entscheidung 2000/520“, auf der Safe Harbor beruht, für ungültig und die Rechtsauffassung der irischen Datenschutzbehörde, sie sei an die Safe-Harbor-Entscheidung gebunden, für falsch.