Da haben wir also den Salat.
Die Entscheidung des Europäischen Gerichtshofs (EuGH) vom vergangenen Dienstag wurde lange prophezeit, ersehnt und gefürchtet. Die 28 Richter hatten über eine Klage gegen Facebook zu entscheiden, es ging um die Speicherung der personenbezogenen Daten von europäischen Facebook-Nutzern auf Servern in den USA. So weit, so banal. Das Urteil das jetzt gesprochen wurde, beschäftigt sich allerdings nur am Rande mit der eigentlichen Problematik Facebooks, es wurde daraus ein Grundsatzurteil zur Rechtmäßigkeit des Safe-Harbor-Abkommens auf dem die Datenübertragung beruhte.
Oder eben dessen fehlende Rechtmäßigkeit. Denn genau das ist das Ergebnis, zu dem die Richter gekommen sind. Die Gründe sind nachvollziehbar, zumindest aus europäischer Sicht: die fehlenden Möglichkeiten der Europäer in den USA die Löschung ihrer Daten zu verlangen, bzw. deren Missbrauch von einem Gericht klären zu lassen, waren eines der gewichtigsten Argumente des Gerichts. Achja, und dann war da noch die Sache mit der nationalen Sicherheit. In den USA werden Argumente der nationalen Sicherheit immer gewichtiger sein als die Privatsphäre der Bürger. Das mag für die Bewohner und Staatsbürger der Vereinigten Staaten akzeptabel sein, für Europäer deren Daten aber auf amerikanischen Servern liegen, ist dies ein Problem. Zurecht.
Firmen sind „ohne jede Einschränkung verpflichtet […], die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen.“ So steht es im Urteil aus Luxemburg. Heißt im Klartext: Die nationalen Sicherheitsbehörden der USA bekommen Zugriff auf die Daten, wenn sie es für richtig und notwendig erachten, ungehindert und unkontrolliert durch irgendeine Form der Aufsicht, Genehmigung oder Information der Betroffenen oder Aufsichtsbehörden jenseits des Atlantiks.
So also fallen die Reaktionen auf die Entscheidung sehr unterschiedlich aus. Jubel, Euphorie und tiefe Zufriedenheit auf der einen Seite, meist auf der europäischen Seite des Atlantiks. Insbesondere unter Datenschützern wurde die Entscheidung wohlwollend zur Kenntnis genommen. Völliges Unverständnis und Kritik auf der anderen Seite, vorwiegend bei den Amerikanern. Die Federal Trade Commission (FTC), zuständig für die Registrierung und Umsetzung von Safe Harbor zeigte sich „enttäuscht“ wegen des Urteils. Aber es herrscht auch Unsicherheit hinsichtlich der Zukunft, insbesondere bei kleinen und mittelständischen Unternehmen, die nun auf einmal ihre Datenübertragungen in die USA in Gefahr sehen.
Denn dieses Urteil – und damit die Ungültigkeit von Safe Harbor – betrifft leider nicht nur Giganten wie Google, Facebook oder Microsoft. Auch ebnen jene kleinen und mittelständigen Unternehmen sind von der Entscheidung betroffen, viele deutsche und europäische Firmen haben Arbeiten in Form von Dienstleistungen an US-Firmen ausgelagert. Als rechtliche Grundlage diente meist Safe Harbor, war es doch bisher eine einfache Möglichkeit rechtssicher personenbezogene Daten auf die andere Seite des Atlantiks zu verfrachten. Da diese rechtliche Möglichkeit und Grundlage nun weggefallen ist, stellt jene Unternehmen vor Probleme. Hauptsächlich die, dass ihre vorher noch rechtlich saubere Datenübertragung auf einmal nicht mehr erlaubt ist. Die USA gilt plötzlich nicht mehr als sicheres Drittland in dem ein ausreichendes Datensicherheitsniveau vorherrscht. Betroffene Unternehmen sollten nun schnellstens nach anderen Möglichkeiten suchen diese Datenübertragungen rechtlich abzusichern. Diese sind vorhanden, müssen aber durch die jeweiligen betrieblichen Datenschutzbeauftragten erstmal recherchiert und umgesetzt werden. Dies kostet Zeit und Arbeitskraft, die bisher nicht erforderlich war – Safe Harbor war da und eine einfache Methode sich die zeitraubenden alternativen Möglichkeiten zu ersparen.
Keine Frage, das Urteil des Europäischen Gerichtshofes wird Auswirkungen haben. Teilweise auch gravierende Auswirkungen. Aber es ist nicht das Ende des Datentransfers zwischen Europa und den USA. Es müssen nur andere Werkzeuge gefunden und eingesetzt werden, Werkzeuge die bereits vorhanden sind.
Sebastian Fingerloos, 13.10.2015