Datenübertragungen ins Ausland - „safe harbor“ & Co.
Angesichts der globalen Vernetzung sind Datenübertragungen ins Ausland eher die Regel, nicht die Ausnahme. Das gilt nicht nur innerhalb Europas, sondern natürlich auch darüber hinaus. Werden Daten aus der EU „exportiert“, stellt sich aus datenschutzrechtlicher Sicht die Frage der Zulässigkeit. Denn im „Importland“ mag ein niedrigeres Datenschutzniveau gelten, so dass aus Sicht des Betroffenen mit der Übertragung ins Ausland die Gefahr einhergeht, den Schutz des europäischen Datenschutzrechts zu verlieren.
Um dieses Dilemma zu lösen, gibt es schon im geltenden Recht verschiedene Ansätze. Unternehmen können sich selbst über „binding corporate rules“ auch für ausländische Töchter an europäisches Datenschutzrecht binden oder es kann auf Standardvertragsklauseln der EU zurückgegriffen werden, die die Einhaltung des europäischen Schutzniveaus zwischen verschiedenen Unternehmen auf vertragliche Weise absichern. Diese Instrumente werden mit der Reform leicht überarbeitet, um sie praktikabler zu machen. Das ist wichtig und wird die Bedeutung dieser Sicherungen steigen lassen.
In der Praxis am wichtigsten ist jedoch ein anderer Mechanismus: die Angemessenheitsentscheidungen der EU-Kommission. Deren Logik: Stellt die EU-Kommission nach einer Prüfung fest, dass das Datenschutzrecht eines anderen Landes dem europäischen Recht vergleichbar ist, so sollen Datenübertragungen in diese Länder per se zulässig sein. Solche Beschlüsse existieren zum Beispiel für Argentinien, Kanada, die Schweiz, Israel und Andorra.
Am wichtigsten ist indes die Regelung im Verhältnis zu den USA. Angesichts der sehr unterschiedlichen Herangehensweise an den Datenschutz in Amerika, wo auf ein kodifiziertes Datenschutzrecht faktisch völlig verzichtet wird, kam ein allgemeiner Angemessenheitsbeschluss für die Kommission nicht in Frage. Um der praktischen Bedeutung der Datentransfers in die USA gerecht zu werden, wurde schon vor über zehn Jahren ein politischer Kompromiss geschlossen. Unternehmen können sich den „safe harbor“-Prinzipien unterwerfen. Nur bei Einhaltung dieser Prinzipien, so die Entscheidung der Kommission, ist eine Angemessenheit des Schutzniveaus gegeben. In der Praxis heißt das: Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe-Harbour-Prinzipien verpflichten. Der Beitritt wird auf einer öffentlichen Liste des US-Handelsministeriums registriert.
Das Problem am „safe harbor“: er ist offenbar nicht so sicher, wie er zu sein scheint. Das jedenfalls sagen Studien, die beklagen, dass die Einhaltung der vereinbarten Prinzipien in den USA faktisch nicht überwacht wird, dass das ganze Konstrukt daher eine ziemliche Chimäre sei. Die hier zitierte Galexia-Studie stellte etwa in 2008 fest, dass von ca. 1600 Unternehmen, die zu diesem Zeitpunkt in der Safe-harbor-Liste geführt waren, gerade einmal 348 auch nur die formalen Voraussetzungen für diese Zertifizierung erfüllten. Ähnlich sahen dies in der Folge auch die deutschen Datenschutzbehörden, die seitdem eine individuelle Kontrolle fordern, wenn ein Unternehmen hierzulande Daten in die USA transferiert. Damit wird der Zweck des Ganzen ad absurdum geführt und für hierzulande ansässige Unternehmen wird safe harbor zum regulatorischen Glücksspiel.
Wegen dieser Defizite wirkt der wohlklingende „sichere Hafen“ schon heute doppelt deharmonisierend: Weil die Einhaltung der Prinzipien durch Anbieter in den USA überhaupt nicht geprüft wird und weil in Deutschland ansässige Unternehmen bei Datenübermittlungen nach Amerika faktisch strengeren Anforderungen als ihre europäischen Nachbarn unterliegen.
Es hätte also nahe gelegen, im Zuge der anstehenden EU-Reform die Thematik aufzugreifen und eine Anpassung der unbefriedigenden Lage herbeizuführen, zum Beispiel indem die bestehenden Angemessenheitsentscheidungen einer Revision unterzogen werden, um ihre Wirksamkeit und Akzeptanz zu erhöhen. Dies wäre schon deshalb logisch, weil sich mit der angestrebten Veränderung des europäischen Datenschutzniveaus auch der Prüfungsmaßstab für die Angemessenheit verändert.
Doch die Kommission schlägt genau das Gegenteil vor: Alle Angemessenheitsbeschlüsse sollen unverändert weitergelten (laut Artikel 41 Abs. 8 des Entwurfs). Im Ergebnis wird damit das an sich sinnvolle Konzept solcher Safe-Harbor-Abkommen in seiner Wirkung konterkariert – ein Webfehler, der im Verlauf der weiteren Beratungen behoben werden muss.
Fazit: Harmonisierung ist wichtig - aber kein Selbstzweck!
Die neue Datenschutzverordnung hätte ohne Frage eine stärkere Angleichung der rechtlichen Rahmen im Datenschutz innerhalb Europas zur Folge und wäre damit immerhin ein Schritt in Richtung eines zumindest europäischen „level playing field“. Das ist richtig und gut!
Noch wichtiger: Mit dem neuen Marktortprinzip wird das europäische Recht erstmals auch formal wirksam gegenüber Anbietern aus Drittstaaten, die zwar weder ihren Sitz in der EU haben, noch hier Server betreiben, jedoch mit ihren Angeboten auf europäische Nutzer zielen.
Doch auch die Lücken in der geplanten Rechtsangleichung sind schon eingewebt: Schwammige Bestimmungen werden trotz Verordnungscharakter Auslegungsunterschiede der nationalen Überwachungsbehörden und Gerichte provozieren.
Außerdem bleibt der – als Konzept sinnvolle – Safe-Harbor-Ansatz gegenüber den USA in der Praxis wegen fehlender Überprüfung der Anforderungen und der einfachen Weitergeltung der Angemessenheitsbeschlüsse eine leere Hülle. Das ist besonders aus deutscher Sicht unbefriedigend, weil zu befürchten ist, dass die Datenschutzbehörden demnach auch weiterhin der entsprechenden Kommissionsentscheidung faktisch ihre Anerkennung verweigern – was die bestehenden Rechtsunterschiede zementieren würde.
Schließlich: Bei aller Bedeutung eines einheitlichen Rechtsrahmens – Harmonisierung ist kein Selbstzweck. Die Frage, ob das neue Datenschutzrecht ein wirklich „modernes“ ist, entscheidet sich am Ende nicht an der Frage der Harmonisierung, sondern an der Praktikabilität und allgemeinen Akzeptanz der materiellen Bestimmungen.
Deswegen werden wir in den nächsten Beiträgen einzelne Elemente etwas genauer unter die Lupe nehmen.
Unsere Kommentarfunktion ist ein Angebot von DISQUS. Hierzu werden Daten an DISQUS übermittelt und durch diese verarbeitet. Wir binden Ihre Kommentare nur im Auftrag ein und kümmern uns die Darstellung und Moderation der Beiträge. DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an, zudem können Sie auch als Gast kommentieren (Anleitung). Weitere Informationen finden Sie in unserer Datenschutzerklärung