Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Meine Daten auf großer Reise: Was ist Safe Harbor?

Kaum jemand, der Facebook & Co. nutzt, kennt die Safe-Harbor-Vereinbarung. Doch wie sie den Datenexport von Europa in die USA regelt, betrifft fast jeden, der sich im Internet bewegt. Jan Schallaböck vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein erläutert in einem Gastbeitrag die Grundzüge der Vereinbarung und die Aussichten der aktuellen Kontroverse darüber.

Informationen über Europäer dürfen nur dann ins EU-Ausland gelangen, wenn dort ein „angemessenes Datenschutzniveau” existiert. Eigentlich. So fordert es – vereinfacht ausgedrückt – das europäische Recht. Genauer gesagt, sind solche Daten geschützt, die auf eine Person bezogen werden können und in Europa erhoben worden sind.

Wie kann es also sein, dass überhaupt Daten in den Zugriffsbereich von US-Geheimdiensten gelangen? Die Antwort ist einfach: Die EU-Kommission hat vor über zehn Jahren entschieden, dass Unternehmen Daten exportieren dürfen, wenn sie sich an bestimmte Regeln halten. Für sie gilt eine Ausnahme.

Der amerikanische und der europäische Ansatz beim Datenschutz

Die Europäische Union und die USA verfolgen sehr unterschiedliche Herangehensweisen beim Datenschutz. In der EU wird der Schutz der Privatsphäre als Grundrecht betrachtet. Die informationelle Selbstbestimmung – zu wissen, wer was über einen weiß – hält das deutsche Bundesverfassungsgericht sogar für eine „Funktionsbedingung eines (…) demokratischen Gemeinwesens”, wie es im Volkszählungsurteil feststellte. Entsprechend gibt es hierzulande eine umfassende Gesetzgebung darüber, wie Datenverarbeiter mit personenbezogenen Daten umzugehen haben.

Anders in den USA: Zwar forderten auch in Washington Politiker in den vergangenen Jahren immer wieder, den Schutz der Privatsphäre besonders im Internet stärker zu regulieren. Umgesetzt sind bisher aber nur sehr punktuelle Regelungen. Es gibt zum Beispiel den „Video Privacy Protection Act”, der dafür sorgen soll, dass niemand erfährt, welche Filme man ausgeliehen hat. Einzelne Länder wie Kalifornien haben auch weitergehende Bestimmungen, etwa die Pflicht, Datenschutzerklärungen auf Internetseiten zu veröffentlichen.

Insgesamt setzt man bisher aber eher auf die sogenannte Selbstregulierung. Das heißt, Unternehmen verpflichten sich, sich an bestimmte Regeln im Umgang mit den Daten ihrer Kunden zu halten. Wer schlechte Praktiken etabliert, dem werden schon die Kunden ausbleiben – so der marktliberale Gedanke dabei. Auch ein Ansatz.

Wie funktioniert Safe Harbor?

Schwierig wird es jedoch, wenn die Kunden eines US-Dienstes in Europa sitzen: Der US-amerikanische und der europäische Ansatz prallen aufeinander. Europäische Verbraucher sollten damit rechnen dürfen, dass Anbieter, die sich an sie richten, auch europäisches Recht einhalten. Das ist ein anerkanntes Grundprinzip. Als Lösung für dieses Dilemma haben sich amerikanische Unternehmen eine besondere Form der Selbstregulierung ausgedacht: Sie behaupten, einen sicheren Hafen für europäische Daten geschaffen zu haben, die „Safe Harbor Principles”.

Die Safe-Harbor-Prinzipien sind einigen Grundregeln des europäischen Rechtes nachgebildet. So heißt es in den Prinzipien etwa:

  • Die Daten müssen technisch vor fremden Zugriffen geschützt sein.
  • Sie dürfen nur gesammelt werden, wenn der Betroffene zugestimmt hat und auch nicht ohne dessen Wissen weiter gegeben werden.
  • Es gibt Informationspflichten und Auskunftsrechte.
  • Sogar die Zweckbindung soll gelten: Daten dürfen nur für den Zweck verwendet werden, dem der Betroffene zugestimmt hat.

Ein Unternehmen, das sich öffentlich auf der Internetseite der US-Handelskommission FTC zur Einhaltung dieser Prinzipien bekennt, darf die Daten seiner europäischen Kunden in den USA verarbeiten. Gleichzeitig unterwirft sich das Unternehmen auch einer gewissen Kontrolle durch die FTC. Diese hat zwar nicht die gleichen Befugnisse wie Datenschutzbehörden hierzulande, kann aber im Einzelfall durchaus erheblichen Druck entfalten.

Grundlage hierfür ist übrigens kein Abkommen, wie es hin und wieder heißt, denn es gibt hierzu keinen Vertrag zwischen der EU und den USA. Die EU-Kommission kann vielmehr im Einzelfall anerkennen, dass ein Land ein angemessenes Datenschutzniveau hat, und die Daten dort verarbeitet werden können. Natürlich ist „Safe Harbor” selbst kein Land; eigentlich ist es noch nicht einmal ein sicherer Hafen, wie wir jetzt wissen. Aber die EU-Kommission hat im August 2000 unter erheblicher Dehnung der rechtlichen Vorgaben entschieden, dass die Safe-Harbor-Prinzipien ausreichen und ein angemessenes Schutzniveau für Europäische Verbraucher gewährleisten.

Zugriffe durch US-Behörden

Auch für Daten bei US-Anbietern gilt nach Safe Harbor also das Zweckbindungsprinzip. Wie ist der Zugriff durch US-Geheimdienste dann mit den Safe-Harbor-Prinzipien zu vereinbaren? Hier liegt die Antwort ebenfalls in einer Ausnahme: Das zugrundeliegende Dokument nimmt den Bereich der nationalen Sicherheit und der Strafverfolgung pauschal aus der Vereinbarung aus.

Das hat die Europäische Kommission im Jahr 2000 jedoch nicht von ihrer Entscheidung für die Vereinbarung abgehalten. Auch als die Entscheidung im Jahr 2004 überprüft wurde, kam man zum gleichen Ergebnis. Ob das so klug war, ist zweifelhaft: Kritische Studien hat die Kommission damals zwar in Auftrag gegeben, aber dann doch lieber nicht veröffentlicht.

Auch die Datenschutzbehörden des Bundes und der Länder haben mehrfach – zuletzt gemeinsam am 24. Juli – eine kritische Überprüfung dieser Entscheidung angemahnt. Zivilgesellschaftliche Initiativen wie Europe-v-Facebook oder der Datenschutz-Aktivist Alexander Hanff haben bereits die Aussetzung der Safe-Harbor-Vereinbarung gefordert. Selbst die EU-Justizkommissarin Viviane Reding hat mittlerweile Zweifel am „sicheren Hafen” formuliert. Offen ist, wie die Sache ausgeht.

Was wäre ohne Safe Harbor?

Über die Konsequenzen, falls die EU ihre Entscheidung zurücknimmt, kann nur spekuliert werden. Sie wären vermutlich durchaus weitreichend: Ohne Safe Harbor dürfte eine Vielzahl der in Europa angebotenen Internetdienstleiste nicht ohne weiteres zulässig sein. Facebook beispielsweise speichert zwar auch Daten in Europa, aber alle Daten liegen vermutlich ebenfalls in Rechenzentren in den USA. Ob das weltweit größte soziale Netzwerk kurzfristig seine Infrastruktur so anpassen könnte, dass entsprechende Datenbestände nur in Europa gespeichert sind, ist zweifelhaft.

Auf die Frage, wie die Datenschnüffelei amerikanischer und europäischer Geheimdienste eingehegt werden kann, liefert Safe Harbor also direkt keine Antwort: Der Zugriff durch US-Behörden wurde ja von vornherein ausgeklammert. Die Wirkung wäre vielmehr indirekt, indem diejenigen Internet-Unternehmen ins Visier geraten, bei denen die Geheimdienstprogramme dann andocken. Setzt die EU die Vereinbarung aus, würde sie deutlich machen, dass sie Daten europäischer Bürger bei US-Unternehmen nicht für sicher hält – im Extremfall müssten sich Anbieter wie Facebook vom europäischen Markt zurückziehen.

So oder so: Es rächt sich jetzt, dass man nicht schon früher intensiv versucht hat, eine datenschutzfreundlichere Infrastruktur und ein dazu passendes völkerrechtliches Regelsystem zu etablieren. Falls die Kommission ihre Entscheidungen pro Safe Harbor zurücknimmt, wäre das Thema jedenfalls ganz oben auf der politischen Agenda angekommen.

Jan Schallaböck ist seit 2006 Mitarbeiter am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und arbeitet dort zu Fragen der internationalen Standardisierung.

Don't be the product, buy the product!

Schweinderl