Safe-Harbor-Ende: Die politische Schonfrist ist abgelaufen

Andreas Frischholz
13 Kommentare
Safe-Harbor-Ende: Die politische Schonfrist ist abgelaufen
Bild: R/DV/RS | CC BY 2.0

Eine Schonfrist von drei Monaten hatte die EU-Kommission von den europäischen Datenschützern erhalten, um einen Nachfolger für das Safe-Harbor-Abkommen auszuhandeln. Die Frist ist seit heute abgelaufen, doch die Verhandlungen mit den USA wurden immer noch nicht abgeschlossen.

Es habe am Wochenende „konstruktive, aber schwierige Gespräche“ gegeben, sagte ein Sprecher der EU laut einem Bericht von Standard.at. „Die Arbeit geht weiter, wir sind noch nicht da, aber die Kommission arbeitet Tag und Nacht, um einen Deal zu erreichen.“ Und dieses Pensum wird auch nötig sein. Denn laut einem Bericht der New York Times hat die US-Regierung in den letzten Wochen zwar einige Zugeständnisse gemacht. Die Frage ist aber, ob diese ausreichen, um die Auflagen des Europäischen Gerichtshofs (EuGH) zu erfüllen.

Das alte Safe-Harbor-Abkommen aus dem Jahr 2000 ermöglichte Unternehmen, europäische Nutzerdaten in die USA zu übermitteln und dort auszuwerten. Die Auflage war allerdings, dass bei der Datenverarbeitung die europäischen Standards eingehalten werden. Doch infolge der „Facebook-v-Europe“-Klage vom österreichischen Datenschutzaktivisten Max Schremms hatte der EuGH im Oktober entschieden, dass europäische Nutzerdaten in den USA nicht sicher sind. Begründet wurde das Urteil unter anderem mit den Überwachungsprogrammen von US-Geheimdiensten wie der NSA, die den Behörden praktisch einen grenzenlosen Zugriff auf die Daten ermöglichen.

In der Praxis bedeutet das: Derzeit gibt es keine rechtliche Grundlage, die den Transfer von personenbezogenen Daten in die USA legitimiert. Denn selbst bei Alternativen wie den Standardvertragsklauseln oder Corporate Binding Rules ist derzeit nicht geklärt, ob diese als Ersatz taugen. Es herrscht also Rechtsunsicherheit. Und das gilt nicht nur für Branchengrößen wie Facebook, Google und Microsoft. Insgesamt sollen mehr als 4.000 Unternehmen betroffen sein.

Offene Ausgangslage nach dem Ende der Frist

Da das Urteil vom EuGH recht überraschend kam, machten die europäischen Datenschützer von der Artikel-29-Gruppe zunächst noch ein Zugeständnis: Der EU-Kommission wurde eine politische Schonfrist von drei Monaten eingeräumt, um ein neues Abkommen mit der US-Regierung auszuhandeln. Seit heute ist die Frist aber abgelaufen und das heißt: Theoretisch könnten persönlich Betroffene und die nationalen Datenschutzbehörden nun gegen Unternehmen klagen, die personenbezogene Daten in die USA übermitteln.

Ob die Datenschutzbehörden aber tatsächlich soweit gehen, lässt sich derzeit noch nicht sagen. Morgen steht ein Treffen der Artikel-29-Gruppe an, bei der über das weitere Vorgehen entschieden wird. Und von einer Fristverlängerung bis zu einem kompletten Stopp des transatlantischen Datenflusses ist praktisch alles drin.

Massenüberwachung ist das Kernproblem

Auf Seiten der Netzaktivisten und Datenschützer plädiert man für ein striktes Vorgehen. „Statt den Elefanten im Raum klar zu benennen und tiefgreifende Reformen bei den amerikanischen Überwachungsgesetzen einzufordern, eiert die EU-Kommission weiter rum“, erklärte Alexander Sander vom Bürgerrechtsverein Digitale Gesellschaft bereits in der letzten Woche. Daher sollten die europäischen Datenschutzbehörden nun den Druck erhöhen und „entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen“.

Derweil sind es die Wirtschaftsverbände, die sich naturgemäß für eine Fristverlängerung aussprechen. Das sei nötig, um „den Unternehmen wenigstens die Chance zu geben, rechtskonform zu handeln“, sagt etwa Oliver Süme, Vorstandsmitglied beim Verband für Internetwirtschaft eco. Ohnehin sei es „ein untragbarer Zustand für die Unternehmen, jetzt eventuell noch zusätzlich mit Strafzahlungen belastet zu werden, nur weil der Politik bisher keine fristgerechte Einigung über ein Nachfolge-Abkommen gelungen ist“.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!