Zwischenbilanz zur Abhöraffäre: Viel Auf­re­gung, wenig Ver­än­de­rung

2/2: Aufhebung des Safe-Harbor-Abkommens sinnvoll?

Für die USA hat die Europäische Kommission kein angemessenes Schutzniveau festgestellt. Um den Datentransfer zu erleichtern, haben die Europäische Union und die USA das Safe-Harbor-Abkommen geschlossen. Damit können sich US-amerikanische Unternehmen den Safe-Harbor-Prinzipien unterwerfen, die sie zum Datenschutz verpflichten. Sie gelten dann als "sicherer Hafen" für personenbezogene Daten.

Die zuvor beschriebene Erklärung der deutschen Datenschutzbehörden, das Safe-Harbor-Abkommen aussetzen zu wollen, dürfte in der Praxis jedoch ohnehin keine Auswirkungen auf die Spionagetätigkeit der NSA haben. Denn die NSA hat sich nicht den Safe-Harbor-Prinzipien unterworfen und würde diese wohl auch nicht beachten. Allerdings vertrauen US-amerikanische und europäische Unternehmen für den Datentransfer auf das Abkommen. Ein Aussetzen dieser Rechtsgrundlage würde damit vor allem wirtschaftliche Folgen haben.

Die US-amerikanischen Unternehmen würden beeinträchtigt werden, obwohl ihre Rolle im NSA-Skandal unklar ist. Die in den USA ansässigen IT-Dienstleister haben dementiert, überhaupt von Prism gewusst oder personenbezogene Daten an die NSA weitergegeben zu haben. Dies geschehe nur im Rahmen der gesetzlichen Bestimmungen, und natürlich müssen auch  europäische Unternehmen im Rahmen der jeweiligen Gesetze Informationen an die nationalen Sicherheitsbehörden der Mitgliedsstaaten weitergeben. Unterstellt man, dass die gesetzlichen Pflichten nicht unverhältnismäßig sind, würde das Aussetzen des Safe-Harbor-Abkommen also die falschen Adressaten treffen.

Fehlende Zuständigkeit nationaler Datenschutzbehörden

Zudem fehlt den Datenschutzbehörden die erforderliche Zuständigkeit, um das Safe-Harbor-Abkommen aussetzen zu können. Das Abkommen sieht zwar vor, dass die nationalen Datenschutzbehörden im Rahmen ihrer Befugnisse einzelne Übermittlungen an konkrete Organisationen in den USA aussetzen können. Dies setzt jedoch voraus, dass die Organisation gegen die Safe-Harbor-Grundsätze verstoßen hat und ein solcher Verstoß durch die amerikanische Federal Trade Commission (FTC), das US-Verkehrsministerium oder eine unabhängige Instanz festgestellt wurde. Fehlt es an einer Feststellung durch eine unabhängige Instanz, können die Datenschutzbehörden einzelne Übermittlungen aussetzen, wenn eine hohe Wahrscheinlichkeit für eine Verletzung der Safe-Harbor Grundsätze besteht und dem Betroffenen ein schwerer Schaden droht. Das Safe-Harbor-Abkommen als solches kann indes allein die Europäische Kommission aussetzen oder kündigen.

Die Erklärung der Datenschutzbehörden, keine Genehmigungen für den Datentransfer in Drittstaaten mehr erteilen zu wollen, hat zudem kaum praktische Relevanz. Zwar sieht das Bundesdatenschutzgesetz (BDSG) in § 4c Abs. 2 die Möglichkeit vor, dass die Aufsichtsbehörden den Datentransfer in Drittstaaten genehmigen können, sollte der Empfänger in einem Land sitzen, das kein angemessenes Datenschutzniveau hat. Dafür muss die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweisen. Eine Genehmigung ist aber nicht erforderlich, wenn die Parteien den Datentransfer auf die Standardvertragsklauseln der Europäischen Kommission stützen.

Die Europäische Kommission hat entschieden, dass diese Standardvertragsklauseln eine ausreichende Garantie darstellen; daher ist insoweit gerade keine Genehmigung erforderlich. Diese Kommissionentscheidung ist bindend. Neben dem Safe-Harbor-Abkommen stellen die EU-Standardvertragsklauseln in der Praxis wohl die häufigste Grundlage für den Datentransfer in Drittstaaten dar. Relevanz könnte die Androhung daher einzig im Bereich der verbindlichen Unternehmensregelungen, der sogenannten Binding Corporate Rules, haben. Diese müssen jeweils durch die Aufsichtsbehörden genehmigt werden, bevor sie als Grundlage für den Datentransfer eingesetzt werden können.

Topologie des Internets folgt nicht geografischen Gegebenheiten

Auch aus technischer Sicht dürfte ein Aussetzen des Safe-Harbor-Abkommens keinen besseren Schutz der Informationen bewirken. Die Topologie des Internets folgt nicht den geografischen Gegebenheiten. Versendet man eine Email aus einem in Deutschland betriebenen Email-Postfach an ein anderes, ebenfalls in Deutschland betriebenes Email-Postfach, können die Datenpakete auf dem Weg dahin über amerikanische oder asiatische Server geroutet werden, ohne dass der Nutzer dies mitbekommt. Die genaue Transportstrecke der Datenpakete hängt von der zugrundeliegenden Server-Infrastruktur ab. Damit sind diese Informationen – zumindest für die Dauer der Übermittlung – potentiell nicht mehr im Anwendungsbereich des deutschen oder europäischen Datenschutzrechts. Damit fallen sie während dieses Zeitraumes auch nicht mehr in den Anwendungsbereich des Safe-Harbor-Abkommens.

Aus technischer Sicht sind Informationen besser geschützt, wenn sie vor dem Versand verschlüsselt werden. Dies verhindert zwar nicht, dass die Daten abgefangen werden, macht sie jedoch für den Abfangenden unlesbar. Allerdings kursieren Gerüchte, dass die Geheimdienste an Verfahren zur Aufhebung kommerziell eingesetzter Verschlüsselungen arbeiten bzw. dies zum Teil schon bewerkstelligt haben. Eine absolute Sicherheit bietet die Verschlüsselung also nicht.

Die Erklärungen der deutschen Datenschutzbehörden und des Europäischen Parlaments, das Safe-Harbor-Abkommen aussetzen zu wollen, erhöhen den Druck auf die politischen Entscheider, rechtliche Konsequenzen aus dem Skandal zu ziehen. Obwohl durch solche Initiativen die Interessen von Unternehmen, Bürgerinnen und Bürgern geschützt werden sollen, verstärken sie auch die allgemeine Unsicherheit, wenn die angestrebten Maßnahmen rechtlich oder politisch nicht umsetzbar sind. Dass aus dem Skandal noch spürbare Konsequenzen folgen werden, wird mit fortschreitender Zeit nicht unbedingt wahrscheinlicher. Wem wirklich am umfassenden Schutz der eigenen bzw. der Daten seiner Kunden gelegen ist, der muss bei der Speicherung und Übermittlung vor allem selbst behutsam zu Werke gehen, und etwa in gerichtlichen Verfahren auf die Dienste spezialisierter Anbieter zurückgreifen.

Helmut Sauro ist Key Account Manager bei Kroll Ontrack, einem weltweit führenden Anbieter für Legal Technologies Services, und verantwortet das Business Development der Bereiche Ediscovery und Computer Forensik.

Christian Kuß, LL.M. ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft und auf IT-, Urheber- und Datenschutzrecht spezialisiert.