EU: Datenaustausch mit USA nachbessern
6. Oktober 2015"Das Urteil ist kein Schlag für uns", behauptet die zuständige EU-Kommissarin Vera Jourova, "im Gegenteil, es bestätigt, dass wir bei unseren Verhandlungen mit den USA in den vergangenen zwei Jahren auf der richtigen Spur waren." Nur hätte die Kommission es in dieser Zeit nicht geschafft, eine neue Vereinbarung abzuschließen. Mit dem bisher gültigen sogenannten Safe-Harbor-Abkommen hatte die Europäische Kommission es seit 2000 Unternehmen ermöglicht, personenbezogene Daten in die USA zu übermitteln - mutmaßlich in Übereinstimmung mit der europäischen Datenschutzrichtlinie.
Aber spätestens seit bekannt ist, dass sogar die Handys europäischer Regierungschefs aus den USA angezapft wurden, weiß auch die Kommission, dass Daten aus der EU keinesfalls sicher sind gegen willkürliche Ausspähung. Seit den Enthüllungen von Edward Snowden 2013 führt Brüssel darum Gespräche mit den US-amerikanischen Behörden darüber, wie europäischer Datenschutz mit den routinemäßigen Eingriffen von US-Geheimdiensten in Einklang gebracht werden könnte.
Deswegen behauptet Vera Jourova jetzt auch, sie sehe sich auf ihrer Suche nach einem neuen, einem "besseren sicheren Hafen" im Austausch mit den USA bestätigt. Allerdings will sie keinen Zeitrahmen nennen, wann eine solche Vereinbarung abgeschlossen werden könnte. Irgendwann im kommenden Jahr vielleicht? Bis dahin muss es Übergangsregelungen geben: In den nächsten Wochen will die Kommission in Zusammenarbeit mit den nationalen Datenschützern der Mitgliedsländer zunächst Richtlinien formulieren, wie der Datenaustausch mit den USA vorübergehend rechtlich abgesichert werden kann.
Der Transfer von europäischen Daten ist weiter möglich, wird aber mühsamer: Entweder muss ein Unternehmen die ausdrückliche Zustimmung jedes Kunden einholen, dass er seine Genehmigung zum Datentransfer in die USA gibt. Oder der Datenaustausch könnte im Rahmen von konzernweiten, bindenden Verpflichtungen stattfinden, die die Einhaltung europäischer Schutzstandards garantieren.
Für die Wirtschaft sind solche Einzelregelungen mühsam, denn was bisher standardisiert war, muss nun in Verträge gefasst werden. "Die Entscheidung des EuGH schafft eine große rechtliche Unsicherheit, die beseitigt werden muss. Sie könnte ausgesprochen negative Folgen für den gemeinsamen Markt in vielen Wirtschaftszweigen haben", urteilt der Europäische Unternehmerverband Bussiness Europe in Brüssel. Deshalb müsse die EU so schnell wie möglich die Vereinbarung mit den USA verbessern und dabei Transparenz und Einhaltung der Regeln gewährleisten.
"Zutiefst enttäuscht"
Ganz ähnlich reagierte die US-Regierung in einer ersten Stellungnahme. "Wir sind zutiefst enttäuscht von der heutigen Entscheidung, die erhebliche Unsicherheit für US- und EU-Firmen und Verbraucher schafft", sagte US-Handelsministerin Penny Pritzker. Die Entscheidung gefährde die "florierende transatlantische Digitalwirtschaft". Nach der Entscheidung müsse schnellstmöglich eine neue Vereinbarung getroffen werden. Die USA seien bereit, entstehende "Unsicherheiten" aus diesem Urteil gegenüber der EU-Kommission zu klären.
"Die EU-Kommission veräppelt die Bürger", sagt dagegen Jan Philipp Albrecht, Europaabgeordneter der Grünen. Der Gerichtshof habe Brüssel deutlich die rote Karte gezeigt, weil die Behörde ihre Verantwortung nicht wahrgenommen habe. "Da wurden in den vergangenen 15 Jahren, seit es die Safe-Harbor-Regelung gibt, Milliarden von Daten europäischer Bürger im Bruch mit den Grundrechten an die USA weitergegeben", kritisiert er.
Albrecht sieht auch ein nachgebessertes Safe-Harbor-Abkommen nicht als Lösung. Der EuGH habe ja gerade erklärt, dass der angebliche Datenschutz in den USA den europäischen Anforderungen nicht entspreche. "Die EU-Kommission muss also jetzt den Amerikanern gegenüber darauf dringen, dass sie selbst ein Datenschutzgesetz einführen." Dafür allerdings müsste Brüssel wohl einen sehr langen Atem haben. Dennoch betont der Abgeordnete, der Ball liege in den USA: "Wenn Washington will, dass US-amerikanische Unternehmen Daten mit Europa austauschen können, müssen sie sich in dieser Frage bewegen".
Europaweite Regelung nötig
Optimistisch ist Jan Philipp Albrecht wiederum, was die Verabschiedung der neuen EU-Datenschutzverordnung angeht: "Die wichtigen Sitzungen finden in diesen Wochen statt, deswegen haben die Richter in Luxemburg ihr Urteil auch jetzt gefällt." Erst wenn es ein EU-weit einheitliches Datenschutzrecht gebe, seien Verbraucher wirklich geschützt.
Dann werde auch verhindert, was im vorliegenden Fall vor dem Europäischen Gerichtshof verhandelt worden war: Dass Irland allein für die Wahrung des Datenschutzes bei Facebook zuständig sei, weil dort die europäische Zentrale des Unternehmens ihren Sitz hat - und die irische Regierung berief sich auf die Safe-Habor-Regelung. In anderen EU-Staaten gibt es bisher entsprechende Verfahren mit anderen Konzernzentralen.
Abgesehen davon, so Jan Philipp Albrecht, gebe es "noch ein paar offene Fragen bei den Verbraucherrechten": Etwa, wie ausdrücklich die Zustimmung zum Datentransfer sein müsse. Dürfe man die zum Beispiel auf Seite 7 der Geschäftsbedingungen verstecken oder nicht? Noch wichtiger ist dem Grünen: Müssen die USA bei Verstößen mit Sanktionen rechnen?