Standort: fm4.ORF.at / Meldung: "Heftige Konsequenzen des "Safe Harbour"-Urteils"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

7. 10. 2015 - 19:00

Heftige Konsequenzen des "Safe Harbour"-Urteils

Das EuGH-Urteil trifft neben "Safe Harbour" direkt auch Teile von TTIP und TISA, die neue EU-Datenschutzverordnung, Internetkonzerne und Tausende Firmen aus den USA.

Das Urteil des Europäischen Gerichtshofs (EuGH), der das "Safe Harbour"-Abkommen Anfang Oktober vernichtend klar verworfen hatte, sorgt für Verwirrung über die Konsequenzen. Beobachter sind sich nur weitgehend einig, dass vorerst einmal nichts passieren werde, da der Fall von "Safe Harbour" eine so schwer überschaubare Zahl von Verträgen, Gesetzen und Datentransfers betreffe. So widerspricht der EuGH zum Beispiel allen bereits vereinbarten Passagen in den aktuellen Freihandelsabkommen TTIP und TISA zum "freien und ungehinderten Fluss der Daten" in die USA.

Aktuell dazu in ORF.at
EU-Kommissarin Vera Jourova will die Verhandlungen zu Safe Harbour 2 möglichst schnell abschließen. Doch dabei spießt es sich in Fragen der nationalen Sicherheit. Vizepräsident Frans Timmermans kündigte an, die Datentransfers werden vorerst weitergehen.

Zudem wird der Kommission vom EuGH die Kompetenz aberkannt, Klauseln in internationalen Verträgen zu unterzeichnen, die Datenschutzbehörden aus Europa an Kontrollen hindern. Das Urteil widerspricht damit dem aktuellen Vorhaben von EU-Ministerrat und Kommission, genau diese Kompetenzen in der neuen Datenschutzverordnung für die Kommission zu verankern. "Safe Harbour 2" wiederum wird nicht so einfach auszuverhandeln sein, wie es sich beide Seiten wünschten, denn der EuGH hat auch noch geurteilt, dass die "nationale Sicherheit" von Drittstaaten in keinem Vertrag mit der EU über die EU-Charta der Grundrechte zu stellen sei. Solche "NSA-Ausnahmeklauseln" aber sind in allen möglichen transatlantischen Verträgen enthalten.

Randdziffer 57 58 EuGH

Public Domain

In der Begründung, warum die Kommission das Prüfrecht der Datenschutzbehörden nicht verhindern kann, verweist der Spruch auf die Grundrechte-Charta.

Transatlantische Konsequenzen

Wenige Tage vor dem Urteil warnte die Botschaft der USA in Brüssel den EuGH offen davor, "Safe Harbour" für ungültig zu erklären. Das würde die transatlantischen Datenflüsse aufs Spiel setzen.

Die EU-Kommission werde sich "in dem neuen Abkommen nicht damit begnügen können, amerikanischen Unternehmen einen Freibrief zu geben für den Fall, dass ein Geheimdienst (...) Zugriff auf diese Daten verlangt", schreibt der deutsche Rechtsprofessor Niko Härting dazu. Professor Daniel Solove (George Washington University) sieht ungemütliche Zeiten auf ein paar tausend US-Firmen zukommen, die bisher unter "Safe Harbour" Daten transferiert hatten.

Randziffer 82 des EuGh Spruchs

Public Domain

Dieser Absatz ist bereits indirekt gegen NSA-Zugriffe à la PRISM auf die Daten gerichtet.

"Die EuGH-Entscheidung zieht ihnen den Boden unter den Füßen weg", schreibt Solove, zwar gebe es auch andere rechtliche Möglichkeiten für diese Datentransfers, doch so einfach wie zu Zeiten von "Safe Harbour" werde das in Zukunft nie mehr funktionieren. Unter "Safe Harbour" genügte eine einfache und einmalige Selbstzertifizierung der Firmen für alle Datentransfers, die Einhaltung dieser Regeln wurde jedoch in 15 Jahren niemals überprüft.

Alternativen zu "Safe Harbour"

Besonders bei US-Cloud-Anbietern schrillten Ende September die Alarmglocken, als die Rechtsmeinung des Generalanwalts veröffentlicht wurde

Die von Solove angesprochenen Möglichkeiten für US-Unternehmen bestehen darin, mit einer nationalen Datenschutzbehörde eine Art Audit durchzuführen. Im Wesentlichen wird dabei überprüft, ob das konzerninterne Prozedere zum Schutz dieser Daten den EU-Regelungen entspricht. Diese "Binding Corporate Rules", die es multinationalen Konzernen mit einem einzigen Audit ermöglichen, Daten europäischer Bürger an allen Standorten konzernintern zu verarbeiten, werden bis jetzt nur von wenigen großen Firmen aus den USA genutzt.

LIste vonBCR - Staaten

Public Domain

Insgesamt sind gerade einmal 70 Firmen auf dieser Liste, etwa die Hälfte davon sind europäische Firmen, die Niederlassungen in den USA unterhalten.

Wie die Liste auf der Website der EU-Kommission zeigt, ist außer eBay kein einziger Internetkonzern darunter. In einer ersten Reaktion hieß es von Facebook, dass man von diesem Urteil nicht betroffen sei, weil man unter anderen EU-Regeln Daten in die USA zu transferiere. Neben den "Binding Corporate Rules", die Facebook nicht unterzeichnet hat, besteht die Möglichkeit, Modellvertragsklauseln der EU in die allgemeinen Geschäftsbedingungen aufzunehmen oder die "explizite" Zustimmung der Benutzer zu jeder Art von Datenverarbeitung einzeln einzuholen.

Was das Adjektiv "explizit" entscheidet

In Sachen Zustimmung sei aber der EU-Ansatz weit strikter als jener in den USA, denn in Europa bedürfe es einer "expliziten Zustimmung" zu jeder Datenverarbeitung, während die Bedingungen in den USA weit laxer seien, schreibt Solove. Da genüge eine einmalige und nur implizite Zustimmung für alle möglichen Datenverarbeitungen. Genau das ist einer der momentan umstrittenen Punkte in der neuen Datenschutzverordnung. Laut dem letzten aus Leaks bekannten Stand der Trilog-Gespräche zwischen Ministerrat, Parlament und EU-Kommission versucht der Rat, die Wortwahl in Richtung der US-Regeln abzuschwächen.

Randziffern 94 und 95 des EuGH-Spruchs

Public Domain

In 57 enthält eine explizite "Lex NSA" wieder unter Verweis auf die Grundrechte-Charta der EU, diesmal auf Artikel 7

Mit der Definition dieses Konsenses aber steht und fällt der Stellenwert der gesamten Datenschutzverordnung, ob nämlich der Benutzer mit einer Zustimmung sämtlichen weiteren Verarbeitungen pauschal zustimmt. Oder ob der Benutzer zum Beispiel explizit zustimmen muss, dass auch die biometrischen Daten auf seinem Foto zur Gesichtserkennung verarbeitet und zum Profil hinzugefügt werden. Diese Frage entscheidet ein einziges Adjektiv in der Formulierung des Rechtstexts.

Hürden, Bürden, "Arroganz der Macht"

All das sind noch die kleineren Hürden, denn ein dem EuGH besonders wichtiger Aspekt und auch Anlass der Klage von Max Schrems gegen die irische Datenschutzkommission wird von diesen Regelungen für Datentransfers nicht berührt: der Zugriff auf diese Daten im Rahmen der nationalen Sicherheit. Das hatte Justizkommissarin Vera Jourova schon am Dienstag als die schwierigste noch zu lösende Frage bezeichnet, was als ausgesprochener Euphemismus zu werten ist. In Angelegenheiten nationaler Sicherheit, darunter fällt die NSA-Spionage, haben die USA weder vor noch nach den Snowden'schen Enthüllungen je mit sich reden lassen.

EU Charta Artikel 7 und 8

Public Domain

Artikel 7 und 8 der EU-Charta, auf die sich die wichtigsten Begründungen des EuGH beziehen

"Die Kosten der NSA-Überwachung steigen und steigen. Wie viel soll den Firmen noch für übereifrige Geheimdienste aufgebürdet werden", fragt Daniel Solove, "ist es das wirklich wert?" Der Rechtsprofessor führt den Spruch des EuGH direkt auf das "dreiste Vorgehen" der NSA zurück. Denn Daten aus Europa nach Lust und Laune abzugreifen, nur weil man über die Möglichkeit dazu verfüge, sei in den Augen der Europäer nichts anderes als die "Arroganz der Macht".

Irland wird zur Falle

In den mehr als 15 Jahren seines Bestehens ist kein Fall öffentlich bekannt geworden, in dem "Safe Harbour" wegen Verstößen zu Sanktionen geführt hätte. Die Einhaltung dieses Abkommens wurde niemals kontrolliert.

Als weitere Konsequenz werden Firmen wie Google, Apple, Facebook oder Microsoft nun erst recht den Druck auf die US-Regierung verstärken, denn auch im vermeintlich sicheren Hafen Irland, wo fast alle IT- und Internetkonzerne niedergelassen sind, sitzen sie plötzlich in der Falle. Über Irland werden sowohl die Umsätze des Geschäfts außerhalb der USA abgewickelt, wie auch die Daten etwa im Fall von Facebook in die USA transferiert werden. Die Inaktivität der lokalen Datenschutz- wie auch der Steuerbehörden und die "Safe Harbour"-Regelung sorgten für reibungslosen Ablauf des Geschäfts.

EuGH Schlussfolgerungen

Public Domain

In diese lange Jahre gut geschmierte Maschinerie war durch die Steuerparadiesvorwürfe an Irland und die Rolle der Internetkonzerne in der NSA-Affäre zuletzt immer mehr Sand geraten, der EuGH hat nun eine volle Schaufel nachgelegt. Der irische "High Court" ist nun verpflichtet, bei seinem Urteil, ob Facebook angesichts von NSA-Spionageprogrammen wie PRISM persönliche Daten aus Europa in den USA verarbeiten darf, dem Spruch des EuGH zu folgen.

Credits an Prof. Erich Schweighofer (Universität Wien, Rechtsinformatik) für hintergründige Informationen zum Thema.

Es ist anzunehmen, dass es der "High Court" mit seinem Urteil nicht ganz so eilig haben wird wie der EuGH, der seinen Spruch bereits 14 Tage nach dem Gutachten des Generalanwalts in allen EU-Sprachen fertig hatte. Die Kommission ist nun in einer stärkeren Position in den Verhandlungen mit den USA zu "Safe Harbour 2". Nach dem fundamentalen Spruch des EuGH muss sie nun allerdings etwas schier Unmögliches auf transatlantischer Ebene aushandeln.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • dergrossenagus | vor 252 Tagen, 1 Stunde, 32 Minuten

    so deppert die depperten Leut:

    wer deppert ist und im Netz alles von sich preisgibt, wann er wo ist, wann er frisst, scheißt, sauft und schlaft, dem gebührt´s eh, dass er von Viagra-Werbung & Co noch und nöcher zugemüllt wird und noch mehr gebührts denen, wenn sich die was im Internet kaufen, dass denen d´Kreditkartennummer gestohlen wird und sich dann d´Diebe d´Pornoseiten damit freischalten!!!

    Auf dieses Posting antworten
  • arnonymous | vor 292 Tagen, 21 Stunden, 45 Minuten

    hmm

    ach.

    im enterprise bereich haben die legal departments schon die lösung - sogenannte modal clauses, die immer schon möglich waren, aber EU Safe Harbor war einfach die unbürokratischere lösung.

    siehe hier ein beispiel:
    http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp

    kundendaten in SaaS lösungen sind also nicht betroffen. salesforce ist übrigens die 4grösste software firma der welt, MS, ORA, etc haben die gleiche Modal Clause verträge draussen.

    Auf dieses Posting antworten
  • frizzdog | vor 293 Tagen, 6 Stunden, 28 Minuten

    der "liberalismus" und der "terrorismus"

    sind also zwillingsschwestern, die vorsichtshalber getrennt auftreten, aber das gleiche ziel haben:
    unterwanderung staatlicher und moralischer ordnungen.
    unter dem "sicherheitsaspekt" wird künftig also jede firma einzelverträge mit staaten bzw. deren geheimdiensten anstreben?
    na servas.

    Auf dieses Posting antworten
    • frizzdog | vor 293 Tagen, 6 Stunden, 27 Minuten

      schaut nach quasiprivatisierung

      der geheimdienste aus...?!

  • maxitb | vor 293 Tagen, 15 Stunden, 31 Minuten

    Safe Harbour

    .. beweißt eines über unsere (EU) Politiker: Entweder grenzenlose Inkompetenz da es von vorne herein eindeutig gesetzwidrig und sittenwidrig (weil einseitig benachteiligend) war oder alles Verräter (hoffentlich gut bezahlt aka korrupt) an denen welche sie vertreten sollen.
    Wie mans dreht: Es ist traurig das gewisse Leute schon ein Jahrzehnt drauf aufmerksam machen und es passiert erst jetzt was und schon versucht die nächste Generation weithin die alte Schiene weiterzufahren.

    Auf dieses Posting antworten
    • tantejutta | vor 293 Tagen, 15 Stunden, 2 Minuten

      Die Kommission hat meist nur

      reagieren können, um irgendeine halb- oder viertelwegs rechtskonform aussehende Rechtsform zu finden. Das Tempo hat wewr anderer vorgegeben.

  • zarniwoop | vor 293 Tagen, 15 Stunden, 51 Minuten

    Facebook ist schon grandios!

    Der unverblümte Unsinn, mit dem FB den Datentransfer rechtfertigt, nötigt einem schon einen gewissen Respekt ab: Die zahlen Phantastilliarden für Heinis in deren Rechts- und PR-Abteilung - und dann kommt so ein lächerlicher Pups raus, der nicht mal stinkt!

    Auf dieses Posting antworten
    • tantejutta | vor 293 Tagen, 15 Stunden, 48 Minuten

      Die Grad der Börsennotiertheit

      scheint negativ mit dem Digestionsgrad zu korrelieren. Gesuind kann das nicht sein.

  • sozialstaat | vor 293 Tagen, 19 Stunden, 17 Minuten

    Danke

    für den wie gewohnt grandios geschriebenen Artikel!

    Auf dieses Posting antworten
    • tantejutta | vor 293 Tagen, 17 Stunden, 48 Minuten

      Tnx, der Neffe ist grad was essen

      deshalb muss ich jetzt hier stellvertretend hold eröten.