Erstellt am: 7. 10. 2015 - 19:00 Uhr
Heftige Konsequenzen des "Safe Harbour"- Urteils
Das EuGH-Urteil trifft neben "Safe Harbour" direkt auch Teile von TTIP und TISA, die neue EU-Datenschutzverordnung, Internetkonzerne und tausende Firmen aus den USA.
Das Urteil des Europäischen Gerichtshofs, der das "Safe Harbour"-Abkommen am Dienstag vernichtend klar verworfen hatte, sorgt für Verwirrung über die Konsequenzen. Beobachter sind sich nur weitgehend einig, dass vorerst einmal nichts passieren werde, da der Fall von "Safe Harbour" eine so schwer
überschaubare Zahl von Verträgen, Gesetzen und Datentransfers betrifft. So widerspricht der EuGH zum Beispiel allen bereits vereinbarten Passagen in den aktuellen Freihandelsabkommen TTIP und TISA zum
"freien und ungehinderten Fluss der Daten" in die USA.
Aktuell dazu in ORF.at
EU-Kommissarin Vera Jourova will die Verhandlungen zu Safe Harbour 2 möglichst schnell abschließen.
Doch dabei spießt es sich in Fragen der nationalen Sicherheit. Vizepräsident Frans Timmermans kündigte an, die Datentransfers werden vorerst weitergehen.
Zudem wird der Kommission vom EuGH die Kompetenz aberkannt, Klauseln in internationalen Verträgen zu unterzeichnen, die Datenschutzbehörden aus Europa an Kontrollen hindern. Das Urteil widerspricht damit dem aktuellen Vorhaben von EU-Ministerrat und Kommission, genau diese
Kompetenzen in der neuen Datenschutzverordnung für die Kommission zu verankern. "Safe Harbour 2"
wiederum wird nicht so einfach auszuverhandeln sein, wie es sich beide Seiten wünschten, denn der EuGH hat auch noch geurteilt, dass die "nationale Sicherheit" von Drittstaaten in keinem Vertrag mit der EU über die EU-Charta der Grundrechte zu stellen sei. Solche "NSA-Ausnahmeklauseln" aber sind allen möglichen transatlantischen Verträgen enthalten.
Public Domain
In der Begründung, warum die Kommission das Prüfrecht der Datenschutzbehörden nicht verhindern kann, verweist der Spruch auf die Grundrechte-Charta.
Transatlantische Konsequenzen
Wenige Tage vor dem Urteil warnte die Botschaft der USA in Brüssel den EuGH offen davor, "Safe Harbour" für ungültig zu erklären. Das würde die transatlantischen Datenflüsse aufs Spiel setzen.
Die EU-Kommission werde sich "in dem neuen Abkommen nicht damit begnügen können,
amerikanischen Unternehmen einen Freibrief zu geben für den Fall, dass ein Geheimdienst ... Zugriff auf diese Daten verlangt", schreibt der deutsche Rechtsprofessor Niko Härting dazu. Professor Daniel Solove (George Washington University) sieht ungemütliche Zeiten auf ein paar tausend US-Firmen zukommen, die bisher unter "Safe Harbour" Daten transferiert hatten.
Public Domain
Dieser Absatz ist bereits indirekt gegen NSA-Zugriffe à la PRISM auf die Daten gerichtet.
Das EuGH-Urteil im Volltext ( http://curia.europa.eu/juris/document/document.jsf?text=&
docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=129210 )
"Die EuGH- Entscheidung zieht ihnen den Boden unter den Füßen weg" schreibt Solove, zwar gebe es auch andere rechtliche Möglichkeiten für diese Datentransfers, doch so einfach wie zu Zeiten von "Safe Harbour" werde das in Zukunft nie mehr funktionieren. Unter "Safe Harbour" genügte eine einfache und einmalige Selbstzertifizierung der Firmen für alle Datentransfers, die Einhaltung dieser Regeln wurde jedoch in 15 Jahren niemals überprüft.
Alternativen zu Safe Harbour
Besonders bei US-Cloud-Anbietern schrillten Ende September die Alarmglocken, als die Rechtsmeinung des Generalanwalts veröffentlicht wurde
Die von Solove angesprochenen Möglichkeiten für US-Unternehmen bestehen darin, mit einer nationalen Datenschutzbehörde eine Art Audit durchzuführen. Im wesentlichen wird dabei überprüft, ob das
konzerninterne Prozedere zum Schutz dieser Daten den EU-Regelungen entspricht. Diese "Binding
Corporate Rules", die es multinationalen Konzernen mit einem einzigen Audit ermöglichen, Daten europäischer Bürger an allen Standorten konzernintern zu verarbeiten, werden bis jetzt nur von wenigen großen Firmen aus den USA genutzt.
Public Domain
Insgesamt sind gerade einmal 70 Firmen auf dieser Liste, etwa die Hälfte davon sind europäische Firmen, die Niederlassungen in den USA unterhalten.
Wie die Liste auf der Website der EU-Kommission zeigt, ist außer eBay kein einziger Internetkonzern darunter. In einer ersten Reaktion hieß es von Facebook, dass man von diesem Urteil nicht betroffen sei, weil man unter anderen EU-Regeln Daten in die USA zu transferiere. Neben den "Binding Corporate Rules", die Facebook nicht unterzeichnet hat, besteht die Möglichkeit, Modellvertragsklauseln der EU in die allgemeinen Geschäftsbedingungen aufzunehmen oder die "explizite" Zustimmung der Benutzer zu jeder Art von Datenverarbeitung einzeln einzuholen.
Was das Adjektiv "explizit" entscheidet
Die Demontage der Datenschutzverordnung im EU-Ministerrat
In Sachen Zustimmung sei aber der EU-Ansatz weit strikter als jener in den USA, denn in Europa bedürfe es einer "expliziten Zustimmung" zu jeder Datenverarbeitung, während die Bedingungen in den USA weit laxer seien, schreibt Solove. Da genüge eine einmalige und nur implizite Zustimmung für alle möglichen Datenverarbeitungen. Genau das ist einer der momentan umstrittenen Punkte in der neuen
Datenschutzverordnung. Laut dem letzten aus Leaks bekannten Stand der Trilog-Gespräche zwischen Ministerrat, Parlament, und EU-Kommission versucht der Rat, die Wortwahl in Richtung der US-Regeln abzuschwächen.
Public Domain
In 57 enthält eine explizite "Lex NSA" wieder unter Verweis auf die Grundrechte-Charta der EU, diesmal auf Artikel 7
Niko Härting über die das Urteil. Beachtenswert die Diskussion im Forum mit dem Wiener
Rechtsinformatiker Walter Hötzendorfer. ( http://www.cr-online.de/blog/2015/10/06/safe-harbor- geburtsstunde-eines-europaeischen-verfassungsgerichts/ )
Mit der Definition dieses Konsenses aber steht und fällt der Stellenwert der gesamten
Datenschutzverordnung, ob nämlich der Benutzer mit einer Zustimmung sämtlichen weiteren
Verarbeitungen pauschal zustimmt. Oder ob der Benutzer zum Beispiel explizit zustimmen muss, dass auch die biometrischen Daten auf seinem Foto zur Gesichtserkennung verarbeitet und zum Profil
hinzugefügt werden. Diese Frage entscheidet ein einziges Adjektiv in der Formulierung des Rechtstexts.
Hürden, Bürden, "Arroganz der Macht"
All das sind noch die kleineren Hürden, denn ein dem EuGh besonders wichtiger Aspekt und auch Anlass der Klage von Max Schrems gegen die irische Datenschutzkommission wird von diesen Regelungen für Datentransfers jedoch nicht berührt: Der Zugriff auf diese Daten im Rahmen der nationalen Sicherheit.
Dies hatte Justizkommissarin Vera Jourova schon am Dienstag als die schwierigste, noch zu lösende Frage bezeichnet, was als ausgesprochener Euphemismus zu werten ist. In Angelegenheiten nationaler Sicherheit, darunter fällt die NSA-Spionage, haben die USA weder vor, noch nach den Snowden'schen Enthüllungen je mit sich reden lassen.
Public Domain
Artikel 7 und 8 der EU-Charta, auf die sich die wichtigsten Begründungen des EuGH beziehen Die Rechtsauffassung Prof. Daniel Soloves ( https://www.linkedin.com/pulse/sunken-safe-harbor- 5-implications-schrems-us-eu-data-transfer-solove )
"Die Kosten der NSA-Überwachung steigen und steigen. Wieviel soll den Firmen noch für übereifrige Geheimdienste aufgebürdet werden", fragt Daniel Solove, "ist es das wirklich wert?". Der
Rechtsprofessor führt den Spruch des EuGH direkt auf das "dreiste Vorgehen" der NSA zurück, denn Daten aus Europa nach Lust und Laune abzugreifen, nur weil man über die Möglichkeit dazu verfüge, sei in den Augen der Europäer nichts anderes als die "Arroganz der Macht".
Irland wird zur Falle
In den mehr als 15 Jahren seines Bestehens ist kein Fall öffentlich bekannt geworden, in dem "Safe Harbour" wegen Verstößen zu Sanktionen geführt hätte. Die Einhaltung dieses Abkommens wurde niemals kontrolliert.
Als weitere Konsequenz werden Firmen wie Google, Apple, Facebook oder Microsoft nun erst recht den Druck auf die US-Regierung verstärken, denn auch im vermeintlich sicheren Hafen Irland, wo fast alle IT- und Internetkonzerne niedergelassen sind, sitzen sie plötzlich in der Falle. Über Irland werden sowohl die Umsätze des Geschäfts außerhalb der USA abgewickelt, so wie auch die Daten etwa im Fall von
Facebook in die USA transferiert werden. Die Inaktivität der lokalen Datenschutz- wie auch der Steuerbehörden und die "Safe Harbour"-Regelung sorgten für reibungslosen Ablauf des Geschäfts.
Public Domain
In diese lange Jahre gut geschmierte Maschinerie war durch die Steuerparadiesvorwürfe an Irland und die Rolle der Internetkonzerne in der NSA-Affäre zuletzt immer mehr Sand geraten, der EuGh hat nun eine volle Schaufel nachgelegt. Der irische "High Court" ist nun verpflichtet, bei seinem Urteil, ob Facebook angesichts von NSA-Spionageprogrammen wie PRISM persönliche Daten aus Europa in den USA verarbeiten darf, dem Spruch des EuGH zu folgen.
Credits an Prof. Erich Schweighofer (Universität Wien, Rechtsinformatik) für hintergründige Informationen zum Thema.
Es ist anzunehmen, dass es der "High Court" mit seinem Urteil nicht ganz so eilig haben wird wie der EuGH, der seinen Spruch bereits 14 Tage nach dem Gutachten des Generalanwalts in allen EU-Sprachen fertig hatte. Die Kommission ist nun in einer stärkeren Position in den Verhandlungen mit den USA zu
"Safe Harbour 2". Nach dem fundamentalen Spruch des EuGH muss sie nun allerdings etwas schier Unmögliches auf transatlantischer Ebene aushandeln.
Zwei Klicks für mehr Datenschutz: Erst wenn Du dieses Feld durch einen Klick aktivierst, werden die Buttons aktiv, und Du kannst Deine Empfehlung an Facebook, Twitter und Google+ senden. Schon beim Aktivieren werden Informationen an diese Netzwerke übertragen und dort gespeichert. Näheres erfährst Du durch einen Klick auf das i.
nicht mit Facebook verbundenSocial-Media-Dienste aktivieren nicht mit Twitter verbunden
nicht mit Google+ verbunden
Zwei Klicks für mehr Datenschutz: Erst wenn Du dieses Feld durch einen Klick aktivierst, werden die Buttons aktiv, und Du kannst Deine Empfehlung an Facebook, Twitter und Google+ senden.
Schon beim Aktivieren werden Informationen an diese Netzwerke übertragen und dort gespeichert.
Näheres erfährst Du durch einen Klick auf das i.