Suchen

Safe-Harbor-Urteil wirkungslos Patriot Act & Co. konterkarieren EU-Rechtsprechung

Autor / Redakteur: Götz Piwinger* / Elke Witmer-Goßner

Das jüngste Urteil des Europäischen Gerichtshofs gegen die Rechtmäßigkeit des Safe-Harbor-Abkommens muss deutschen und europäischen Datenschützern wie Öl heruntergegangen sein. Und doch sind Internet-Nutzer im internationalen Datenverkehr noch lange nicht auf der sicheren Seite.

Firmen zum Thema

Recht haben und Recht bekommen, das hängt im Falle des Datenschutzes auch nach dem jüngsten EuGH-Urteil von v.a. US-nationalen Richtlinien ab.
Recht haben und Recht bekommen, das hängt im Falle des Datenschutzes auch nach dem jüngsten EuGH-Urteil von v.a. US-nationalen Richtlinien ab.
(Bild: Oliver Böhmer/Bluedesign, Fotolia)

Die Veränderung von Safe Harbor war nur möglich, weil es sich um ein Abkommen zwischen der EU und den USA handelte. Alle anderen Datenspionageprogramme der USA obliegen der Souveränität der USA und sind nicht einklagbar. Wo liegen die Unterschiede und Überschneidungen der Programme?

USA Patriot Act steht als Akronym für „Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001“, zu Deutsch etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um den Terrorismus aufzuhalten und zu blockieren“.

Der Patriot Act erlaubt US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren. Selbst dann, wenn lokale Gesetze dies untersagen. Wenn also US-Konzerne ihre Server in Deutschland betreiben, bedeutet das noch lange keinen Schutz vor US-Spionage.

Wo personenbezogene Daten auf Servern von US-Töchtern gespeichert werden, verstößt dies nach Einschätzung des ehemaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, Thilo Weichert, gegen europäische Gesetze. Diese untersagen die Weitergabe personenbezogener Daten, wenn diese den Bereich der EU verlassen.

EU-Unternehmen, die solche Daten auf Servern von US-Tochterunternehmen speichern oder durch diese verarbeiten lassen, verstoßen nach Weichert gegen europäische und nationale Gesetze. Um diesen Sachverhalt aufzuweichen, wurde das Safe-Harbor-Abkommen geschaffen.

Bau einer Hilfsbrücke

Die noch gültige Datenschutzrichtlinie 95/46/EG verbietet es grundsätzlich, personenbezogene Daten aus Mitgliedsstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Dazu zählen auch die Vereinigten Staaten, denn das US-amerikanische Recht kennt keine umfassenden gesetzlichen Regelungen, die den Standards der EU insoweit entsprechen würden.

Damit der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt: US-Unternehmen können dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen FAQ – zu befolgen.

In der Safe-Harbor-Entscheidung hatte die Europäische Kommission im Juli 2000 anerkannt, dass bei den Unternehmen, die diesem System beigetreten sind, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe. Bis September 2015 sind etwa 5.500 amerikanische Unternehmen dem Safe-Harbor-Abkommen beigetreten, darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard, Dropbox und Facebook.

Da im Rahmen des Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-Clouds gespeicherten Daten gewährt werden muss, geriet das Safe-Harbor-Abkommen immer mehr in die Kritik. Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein sei Safe Harbor „das Papier nicht wert, auf dem es geschrieben steht“.

Kritik verpufft

Nach den Enthüllungen Edward Snowdens hatten die deutschen Datenschutzbeauftragten am 24. Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufgefordert, das Safe-Harbor-System zu überprüfen und bekanntgegeben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen. Das hat bekanntlich nicht geklappt.

Kurz darauf wurde bekannt, dass zwei Beschwerden gegen Apple und Facebook vor der irischen Datenschutzbehörde nicht bearbeitet wurden. Die irische Datenschutzbehörde stellte fest, dass PRISM an der Gültigkeit von Safe Harbor nichts geändert habe und für die Frage der Rechtmäßigkeit des Datenexports in die USA weiterhin allein auf die Zugehörigkeit des Empfängerunternehmens zu der Safe-Harbor-Liste abzustellen sei. Diese Auffassung teilt auch Großbritannien.

Nun hat der EuGH Safe Harbor erst mal gestoppt. Theoretisch besteht nun sofortiger Handlungsbedarf bei internationalen Unternehmen, denn der richterliche Beschluss gilt unmittelbar, also sofort. Die Unternehmen müssten nun beispielsweise die Zustimmung ihrer Datenlieferanten zur Weitergabe einholen.

PRISM ist ein seit 2005 existierendes und als Top Secret eingestuftes Programm zur Überwachung und Auswertung elektronischer Medien und elektronisch gespeicherter Daten. Es wird von der US-amerikanischen National Security Agency (NSA) geführt und gehört wie die anderen Teilprogramme „Mainway“, „Marina“ und „Nucleon“ zu dem groß angelegten Überwachungsprogramm „Stellar Wind“.

Laut einer zuerst von der Washington Post und dem britischen Guardian im Juni 2013 veröffentlichten Präsentation sind an dem Programm neun der größten Internetkonzerne und Dienste der USA beteiligt: Microsoft (u.a. mit Skype), Google (u.a. mit YouTube), Facebook, Yahoo, Apple, AOL und Paltalk.

PRISM soll die digitale Kommunikation von Personen und Unternehmen innerhalb und außerhalb der USA überwachen. Dabei sei es der NSA und dem FBI laut dem Bericht der Washington Post möglich, auf live geführte Kommunikation und gespeicherte Informationen bei den beteiligten Internetkonzernen zuzugreifen. Die amerikanischen Geheimdienste haben über ihre Kombination Stellar Wind und USA Patriot Act zwangsweise vollen Zugriff auf US-Server und Verschlüsselungsanbieter, gleichgültig wo diese physikalisch stehen.

Da hilft nur eins

Unternehmen sollten bei der Wahl ihrs Providers deshalb darauf achten, dass die Server in Deutschland stehen, das Unternehmen sich im deutschen Rechtsraum befindet und die Mehrheitsgesellschafter keine US-Amerikaner oder -Unternehmen sind. Denn nur dann greift das Bundesdatenschutzgesetz, das zumindest die ungefragte Weitergabe personenbezogener Daten – und das sind heute fast alle Daten – an Dritte unterbindet.

Anbieter von Telefonie- und Datendiensten nutzen Cloud-Technologie. Die dortige Datenhaltung und -verarbeitung muss nach sicheren Standards erfolgen. Einer der weltweit sichersten Standards ist das Bundesdatenschutzgesetz. Auch wenn später die neue europäische Datenschutzrichtlinie in Kraft tritt, bleibt der Deutsche Standard „State of the Art!“ – denn künftig wird das Niveau sinken.

Um vertrauenswürdige Anbieter sofort zu erkennen, lohnt es sich, auf bestimmte Zertifizierungen, wie German Cloud oder die Kombination ISO 27001 auf Basis BSI-Grundschutz zu achten. Nur diese beiden Zertifikate dokumentieren den vorgeprüften Datenschutz nach dem Bundesdatenschutzgesetz.

Götz Piwinger, German Cloud.
Götz Piwinger, German Cloud.
(Bild: German Cloud)

* Götz Piwinger ist Gründer der Initiative German Cloud für Cloud-Sicherheit und Datenschutz im Mittelstand.

(ID:43670529)