Wenn EU-Kommissarin Vĕra Jourová an diesem Freitag nach Washington reist, sollen dort die Kernpunkte von „Safe-Harbor 2.0“ unter Dach und Fach gebracht werden. Doch diese Aufgabe könnte sich als äußerst schwierig erweisen. Denn wie ein Folgeabkommen zu Safe-Harbor ohne substantielle Gesetzesänderungen in den USA aussehen soll, kann niemand so genau sagen. Wir wollen eine kurze Übersicht zum Stand der Diskussion geben.

Die Safe-Harbor-Entscheidung des EuGH hat einigen Wirbel verursacht. EU-Kommission und Mitgliedsstaaten, sie alle versuchen sich nun als Sieger des Verfahrens darzustellen. Doch zunächst ist das Urteil die erwartete schallende Ohrfeige für die Kommission. Sie hat durch das Safe-Harbor-Abkommen mit den USA, hiesige Daten sehenden Auges in ein System überantwortet, das auf wirkungslose Selbstverpflichtung der Unternehmen setzt und US-Behörden für ihre Massenüberwachungsprogramme Zugriff darauf gewährt.

Natürlich gibt es jetzt Übergangslösungen und andere Rechtsgrundlagen, um die Datenverarbeitung in den USA weiter zu ermöglichen. Max Schrems, der das Verfahren bis vor den Europäischen Gerichtshof angestrengt hatte, kritisierte dieses Problem bereits. Aber es zeichnet sich derzeit ab, dass erst einmal alles beim Alten bleibt. Denn die EU-Kommission beeilt sich fieberhaft, das Loch zu schließen, das die Gerichtsentscheidung in die Komfortzone der Unternehmen gerissen hat. Die Verhandlungen eines neuen Abkommens zum Datentransfers, ein „Safe-Harbor 2.0“, sind gerüchtehalber schon weit fortgeschritten. Also können die Unternehmen wohl aufatmen und eine drängende Dreimonatsfrist der Datenschutzbehörden verstreichen lassen, weil bis dahin der Datentransfer auf einer neuen Rechtsgrundlage möglich sein wird.

Eine Frist der Datenschutzbeauftragten

Mitte Oktober hatte die europäische Artikel-29-Datenschutzgruppe angekündigt, dass bis Ende Januar 2016 eine Lösung gefunden werden müsse. Falls bis dahin keine neue Grundlage für die Datenübermittlung in die USA gefunden werde, drohten die Datenschutzbeauftragten „koordinierte Durchsetzungsmaßnahmen“ und Konsequenzen an. Die Position und die Befugnisse der Datenschutzbeauftragen war durch die Entscheidung des Europäischen Gerichtshofs enorm gestärkt worden.

Denn eine wichtige Konsequenz für das Folgeabkommen ist, dass die Datenschutzbeauftragten tätig werden dürfen, wenn sie mit der nun kommenden neuen Vereinbarung der EU-Kommission über ein „safer Safe-Habor“ nicht einverstanden sind. Das gilt, wenn sie der Meinung sind, dass in einem Drittland kein angemessenes Datenschutzniveau besteht, das mit dem europäischen „essentially equivalent“ ist. Zur Kontrolle der Kommissionsentscheidung können Datenschutzbeauftragte vor dem EuGH respektive den nationalen Gerichten klagen.

Damit die neue Vereinbarung Bestand haben wird, verspricht EU-Vizepräsident Andrus Ansip, eine „kugelsichere Lösung“ zu finden. Wie diese überhaupt aussehen kann wurde in der vergangenen Woche bei einer Pressekonferenz der Kommission maximal unbestimmt skizziert. Das System der Selbstverpflichtung für US-Unternehmen, die sich einfach zu den Safe-Harbor-Bestimmungen bekennen konnten, soll durch ein Verfahren ersetzt werden, „that is more responsive as well as pro-active and back-up by significant enforcement, including sanctions.“ Ob das tatsächlich europäischen VerbraucherInnen ermöglicht, vor US-Gerichten gegen Datenschutzverletzungen von US-Firmen zu klagen bleibt noch fraglich.

Der weitere Kernaspekt der Massenüberwachung liest sich vergleichbar schwammig. Immerhin verspricht die Kommission, sich in den Verhandlungen dafür einzusetzen, dass kein Zugriff auf europäische Daten auf einer „generalised basis“ stattfindet, sondern darüber ausreichende juristische Aufsicht besteht. Das könnte ein entscheidender Punkt bei den Verhandlungen sein, der auch darüber entscheidet, wie einsturzgefährdet ein neues Safe-Harbor-Abkommen sein wird.

Doch wird stark bezweifelt, dass die USA eine Vereinbarung unterzeichnen, die es ihr verbietet, massenhaft auf die dorthin gesendeten Daten zuzugreifen; geschweige denn EU-BürgerInnen einen höheren Datenschutzstandard gewährt, als ihren eigenen EinwohnerInnen. Dieses Fazit zieht jedenfalls Max Schrems nach einer genaueren Analyse der Vorgaben des EuGH-Urteils:

After a second review of the judgment of the CJEU it will be very hard to come up with a solution that addresses all problems identified by the Court, given the US position.

Gerade angesichts des Zeitdrucks, eine Lösung bis Januar zu finden, bezweifelt auch der Europaabgeordnete Jan-Philipp Albrecht, dass darin dem EuGH-Urteil entsprochen werden kann:

How do you want to adopt a new desicion, which is meeting the demands of the court, without beeing able to change the US-legislative framework very soon? The court has been very clear that the legislative arrangements in the USA are not allowing for an essentialy equivalent or adequate protection. There won’t be a new desicision by the EU-commission fixing that problem. (…) The court refered to the revelations by Edward Snowden by the PRISM programm and other mass surveillance programms and therefore dissmissed the adequate protection of the legal framework.

Ähnliche Befürchtungen äußerten auch eine Vielzahl von Organisationen und Einzelpersonen, die sich am Mittwoch vor der USA-Reise von Vĕra Jourová in einem offenen Brief an die Verhandlungsführerinnen über das Folgeabkommen wandten. Darin formulierten sie 13 Forderungen, und appellierten, dass ein Ende der Ende der Massenüberwachung seitens der USA, aber auch durch EU-Mitgliedsstaaten, eine wesentliche Voraussetzung für ein datenschutzfreundliches Transferabkommen sein müsse. Für eine rechtssichere Würdigung der EuGH-Entscheidung seien Gesetzesänderungen unabdingbar, heißt es in dem Brief:

A revised Safe Harbor framework similar to the earlier Safe Harbor framework will almost certainly be found invalid by the national data protection agencies and ultimately by the CJEU. It is impossible to ignore that the Schrems decision requires necessary changes in the “domestic law” and “international commitments.”

Die US-Seite hatte jedoch schon zu Beginn des Monats deutlich gemacht, dass sie keine Gesetzesänderungen in Betracht ziehe und wies den Vorwurf der Massenüberwachung zurück

Was hat das mit TTIP zu tun?

Was bedeutet das Urteil des EuGH unterdessen für die Verhandlungen über das Freihandelsabkommen TTIP? – „Ne’ Menge“, sagen die USA; „Nichts“ meint die Bundesregierung und hält an ihrer Behauptung fest, dass Datenschutz kein Bestandteil der TTIP-Verhandlungen sei. In der Antwort auf eine Kleine Anfrage der Linksfraktion im Bundestag zu den Auswirkungen des Safe-Harbor-Urteils sieht die Bundesregierung daher keinen Handlungsbedarf:

Datenschutzfragen sollen aus Sicht der Bundesregierung und der Europäischen Kommission nicht in TTIP geregelt werden. Die Europäische Kommission hat im November 2013 Empfehlungen zur Verbesserung des Safe-Harbor-Mechanismus vorgeschlagen und verhandelt seitdem mit den USA über ihre Umsetzung. Diese Verhandlungen werden nun unter Berücksichtigung der Entscheidung des EuGH weiter geführt. (Wir haben die kleine Anfrage befreit und unten angehängt)

Jedoch ist es kein Geheimnis mehr, dass die Verhandlungen über das TTIP-Abkommen sehr wohl Daten und den Handel zwischen der EU und den USA zum Gegenstand hat. Durch eine Hintertür im Verhandlungsmandat: TTIP soll nichttarifäre Handelshindernisse abbauen, um den freien Verkehr von Dienstleistungen und Waren zu befördern. Hierunter sind aber natürlich auch Daten zu verstehen. Wo über den freien Verkehr und Handel gesprochen wird, ist auch ungehinderter Datenfluss gemeint. Datenschutz ist eben ein klassisches nichttarifäres Handelshindernis.

Um dieses Schlupfloch im Verhandlungsmandat zu schließen, hatte das EU-Parlament erst im Juli dieses Jahres in der Begründung für die Midterm-Entschließung zu TTIP explizit auf einen „zufriedenstellenden Abschluss“ der Safe-Harbor-Verhandlungen Bezug genommen und gefordert:

(…) über Bestimmungen, die den Fluss personenbezogener Daten berühren, nur zu verhandeln, wenn die uneingeschränkte Anwendung der Datenschutzvorschriften auf beiden Seiten des Atlantik sichergestellt ist und geachtet wird, und zusammen mit den USA darauf hinzuarbeiten, dass Drittländer weltweit für die Einführung ähnlich hoher Datenschutzstandards gewonnen werden;

xiii) im Blick zu behalten, dass die Zustimmung des Europäischen Parlaments zu dem endgültigen TTIP-Abkommen daran scheitern könnte, dass die pauschale Massenüberwachung durch die USA nicht vollumfänglich eingestellt wird und in Bezug auf die Wahrung der Datenschutzrechte der EU-Bürger keine angemessene Lösung (…) zustande kommt;

Diese entscheidenden Punkte werden auch im EuGH-Urteil bestätigt: Einen „der Sache nach gleichwertigen“ Datenschutzstandard, die Anwendung beziehungsweise Durchsetzung dieser Standards und ein Ende anlassloser Massenüberwachung als zentrale Bedingung für das Verhandlungsergebnis. Mit den Vorgaben des EuGH-Urteils liegt also auch zentrale die Bedingung vor, dass die Verhandlungen im TTIP-Kämmerchen zum freien Fluss von Daten nur stattfinden können, wenn ein wesensgleicher Schutzstatus und dessen Anwendung auf beiden Seiten des Atlantiks besteht.

Doch es darf stark bezweifelt werden, dass die US-Verhandlungspartner diese Position teilen und in ein Safe-Harbor-Folgeabkommen aufnehmen. Bereits kurz nach dem Urteil hatte sich US-Handelsministerin Penny Pritzker enttäuscht gezeigt. Bei einer Rede auf der AmCham Germany Annual Transatlantic Business Conference in Frankfurt betonte sie dann, welche enorme Bedeutung Safe-Harbor für den Freihandel einnehme. Sie spricht auch mit Bezug auf TTIP davon, dass das EuGH-Urteil ein ernsthaftes Problem sei:

The [Safe Harbor] framework is based on privacy-protective principles – notice, choice, onward transfer, access, security, data integrity, and enforcement – which have broad consensus support in Germany, the United States, Europe, and around the world. The over 4,400 companies that participate in Safe Harbor have agreed to bind themselves to protect privacy and abide by the Safe Harbor principles. About three weeks ago, the European Court of Justice decision brought great uncertainty to businesses on both sides of the Atlantic. The decision does not give due credit to the steps we, in the United States, have taken at both the executive and legislative levels to protect privacy.

Jedoch lies Pritzker durchblicken, dass bereits beim Besuch der EU-Justiz- und Verbraucherschutzministerin Vĕra Jourová das „Safe-Harbor 2.0“-Abkommen in trockene Tücher gebracht werden soll. Naturgemäß hat Pritzker völlig gegensätzliche Argumente, aber sie stimmt in der Sache mit der Haltung des EU-Parlaments überein, dass ein solides Safe-Harbor-Folgeabkommen von fundamentaler Bedeutung für die TTIP-Verhandlungen ist. Schließlich soll darin die Grundlage gelegt werden, dass die voranschreitende Digitalisierung der Wirtschaft im späteren TTIP-Abkommen mit ungehinderten Datenflüssen rechnen kann. Der gemeinsame Wirtschaftsraum, den TTIP über den Atlantik spannen soll, wird also selbstverständlich auch den Austausch von Daten umfassen.

Safe-Harbor – Die Another Day

Wir dürfen uns also darauf freuen, dass die EU-Kommission sehenden Auges ein „Safe-Harbor 2.0“ vereinbaren wird, das auf dem Fuße den Vorgaben des EuGH-Urteils widerspricht. Ein Schelm, wer sich da nicht an ein Vorgehen der deutschen Bundesregierung erinnert fühlt, als es um die Voratsdatenspeicherung 2.0 ging. Auch hier wurde kaltschnäutzig ein EuGH-Urteil in den Wind geblasen, indem man einer baugleiche Neuauflage einfach einen bunten Anstrich und ein wenig Umbenennung verpasst.

Die politische Begründung für das Save Harbor-Urteil tritt schnell wieder in den Hintergrund. Unter dem wirtschaftlichen Gesichtspunkt soll nach einer möglichst schnellen Lösung gesucht werden, um den Hafen wieder befahrbar zu machen. Dass die Datenschiffe, die dort anlegen, bis auf den hintersten Winkel von der NSA durchsucht werden, darf aber in der Debatte nicht zu kurz kommen.