SAFE-HARBOR-URTEIL : Neue Hürden für Facebook & Co.

Es war ein Schock für Politiker und Internetunternehmen gleichermaßen, als der Europäische Gerichtshof Anfang Oktober mit dem inzwischen schon legendären Schrems-Urteil das Safe-Harbor-Abkommen zwischen der EU und den Vereinigten Staaten kippte. Die Luxemburger Richter knüpften mit ihrem Urteil nicht nur die Übertragung persönlicher Daten von Europa nach Amerika an strenge Bedingungen, sondern errichteten zugleich neue Hürden für die ohnehin schwierigen Verhandlungen über das geplante transatlantische Freihandelsabkommen TTIP .

Seit dem Jahr 2000 konnten amerikanische Unternehmen die Daten von Europäern problemlos in die USA übertragen, dort speichern und verarbeiten. Vorausgesetzt sie erklärten sich dazu bereit, bestimmte Datenschutzstandards einzuhalten. Basis dafür war eine Entscheidung der Europäischen Kommission, mit der die Vereinigten Staaten zum "sicheren Hafen" für die Daten der Europäer erklärt wurden. Dass das nicht der Fall ist, war zwar spätestens seit den Enthüllungen des ehemaligen amerikanischen Geheimdienstmitarbeiters Edward Snowden über die umfassende Spionage der Amerikaner wohl allen klar. Die Kommission sah aber dennoch keinen Grund, das Safe-Harbor-Abkommen aufzuheben. Sie nahm lediglich Verhandlungen mit den Amerikanern über ein Nachfolgeabkommen auf.

Dem Europäischen Gerichtshof ging das nicht weit genug. Er erklärte nach einer Beschwerde des österreichischen Aktivisten Max Schrems, angesichts des weitgehenden Zugriffs der amerikanischen Geheimdienste auf europäische Daten sei das Abkommen mit sofortiger Wirkung ungültig. 4.400 amerikanische Unternehmen standen plötzlich vor der Frage, wie sie mit den Daten der EU-Bürger umgehen sollten. Eigentlich hätten sie vom Tag des Urteils an keine Daten mehr in die USA mehr übertragen dürfen und diese stattdessen in der EU speichern müssen. Eine Riesenherausforderung für Facebook, Amazon oder Apple, erst recht aber für die vielen kleineren Dienstleister, die bisher von der Regelung profitiert haben. Zumal das Urteil, anders als von einigen Anwälten suggeriert, nicht leicht zu umgehen sein sollte. So haben mehrere Datenschutzbehörden Zweifel daran angemeldet, ob Unternehmen auf anderer rechtlicher Grundlage Daten übertragen können, wenn sich die Rechtslage in Amerika nicht ändert.

Zwar verschafften die EU-Datenschutzbehörden den Unternehmen etwas Luft, indem sie der EU-Kommission und ihren amerikanischen Verhandlungspartnern bis Ende Januar Zeit gaben, ein neues Abkommen auszuhandeln. Die Gespräche gestalten sich aber offenbar alles andere als einfach, auch wenn beide Seiten Optimismus verbreiten. Grund dafür ist nicht zuletzt, dass die Luxemburger Richter faktisch verlangt haben, dass die Daten in den USA künftig genauso gut geschützt sein müssen wie in Europa.

Die EU-Justizkommissarin Vera Jourová hat inzwischen sehr genau skizziert, wie sie das sicherstellen will. So sollen die Amerikaner garantieren, dass ihr Zugriff auf die Daten den Prinzipien von Notwendigkeit und Verhältnismäßigkeit entspricht und dass es eine entsprechende richterliche Aufsicht gibt. Zudem müsse sichergestellt sein, dass Beschwerden von EU-Bürgern bearbeitet und beigelegt würden, wenn US-Unternehmen die Datenschutzgrundsätze nicht beachteten.

Das allein reicht nach Ansicht von Jourová jedoch nicht aus. Sie will den Internetunternehmen keine Blankoschecks für die Übertragung europäischer persönlicher Daten mehr ausstellen. Das Abkommen soll engmaschig überwacht und jederzeit von der Europäischen Kommission ausgesetzt werden können. Die Kommission fordert deshalb einen alljährlichen Bericht über die Anzahl der von den Geheimdiensten abgefragten europäischen Daten. Zugleich müssten die Unternehmen ihrerseits über die Zahl der Anfragen berichten, damit die Kommission die Angaben der US-Behörden überprüfen kann.

Ob die amerikanische Regierung bereit ist, soweit zu gehen, ist unklar. Zwar hat sie den Zugriff der Geheimdienste nach den Snowden-Enthüllungen beschränkt. Das gilt aber vor allem für amerikanische Bürger. Die Amerikaner zumindest werben schon dafür, die Frist für den Abschluss der Verhandlungen auszuweiten. Eine Einigung im Februar oder März wäre doch schon beachtlich, sagte die oberste amerikanische Datenschützerin Julie Brill im Dezember in Brüssel. Fraglich ist, ob die EU-Datenschutzbehörden, deren Rolle der Gerichtshof mit seinem Urteil zudem gestärkt hat, solange warten.

Damit aber könnte das Safe-Harbor-Urteil auch noch zum Problem für TTIP werden. Die Amerikaner dringen auch hier auf einen möglichst ungehinderten Transfer für persönliche Daten, wenn sie im Zusammenhang mit der Ausführung der Geschäfte des Dienstleistungsanbieters steht. Genau den darf die Kommission aber auf Basis des Urteils eigentlich nicht mehr gewähren.

Der Autor ist Korrespondent der FAZ in Brüssel.