Wie europe-v-facebeook.org (evf) heute in einer Pressemitteilung bekannt gibt, hat die Vereinigung zusammen mit Nutzern mehrere Beschwerden bei verschiedenen nationalen Datenschutzbehörden eingereicht.
Inhalt der Beschwerden
Evf stützt sein Vorbringen auf eine mögliche Verletzung europäischen Datenschutzrechts durch europäische Tochtergesellschaften großer amerikanischer Unternehmen. Ziel der Beschwerden sind Facebook, Apple, Microsoft, Skype und Yahoo. Die Beschwerden gingen an die Datenschutzbehörden in Irland (für Facebook und Apple), Deutschland (für Yahoo) und Luxemburg (für Skype und Microsoft).
Evf sieht in dem Export von Nutzerdaten von europäischen Tochterfirmen an ihre amerikanischen Muttergesellschaften einen Verstoß gegen die Vorgaben der geltenden Datenschutzrichtlinie (RL 95/46 EG, DS-RL), wenn sich die Vermutungen in Bezug auf die aufgedeckten Informationen zu dem Überwachungsprogramm Prism des amerikanischen Geheimdienstes als wahr herausstellen sollten. Ein Export von personenbezogenen Daten in ein Drittland außerhalb der EU ist nach geltendem Recht nur zulässig, wenn in diesem Drittland ein „angemessenes Datenschutzniveau“ besteht. Diese Feststellung wir durch die Europäische Kommission getroffen.
In Amerika besteht ein solches Schutzniveau nicht. Um dennoch Daten rechtmäßig in die USA übertragen zu können, hat die Europäische Kommission zusammen mit der amerikanischen Regierung das sog. Safe-Harbor-Abkommen abgeschlossen. Dies ist ein freiwilliges Programm für amerikanische Unternehmen, unter dem sie sich an gewisse Pflichten in Bezug auf personenbezogene Daten halten müssen, wenn sie diese nach Amerika übertragen wollen. Die Einhaltung dieses Selbstzertifizierungsprogramms wird in Amerika von der Federal Trade Commission (FTC) überwacht.
Max Schrems, Sprecher von evf, führt hierzu aus: „Von einem angemessenen Datenschutz kann natürlich nicht die Rede sein, wenn am anderen Ende der Leitung mit der NSA kooperiert wird. Man muss daher davon ausgehen, dass ein Export der Daten in die USA illegal ist, wenn die Unternehmen nicht garantieren können, dass diese Berichte falsch sind.“
Evf setzt auf die Auskunftspflicht der europäischen Unternehmen. Zwar dürfen amerikanische Unternehmen, welche Daten im Rahmen von Prism weitergeben, hierüber keine Auskunft geben. Nach der Ansicht von efv sind jedoch die europäischen Tochterunternehmen an europäisches Datenschutzrecht gebunden und müssten in Bezug auf die Weitergabe und Übermittlung von personenbezogenen Daten auch Auskunft erteilen. Sich also auch dazu erklären, inwieweit Daten etwa an den amerikanischen Geheimdienst (bzw. zu diesem Zwecke vorher an die Muttergesellschaft) übertragen wurden.
Prism und Safe-Harbor
Und in der Tat erscheint es zumindest äußerst diskutabel, inwiefern noch von einem angemessenen Schutzniveau gesprochen werden kann, sollten sich die Berichte und Informationen um Prism als tatsächlich wahr herausstellen. Ich hatte hierzu bereits in einem Blogbeitrag Stellung genommen. Eines der Hauptprobleme liegt darin, dass Unternehmen in dieser Konstellation im Prinzip zwischen zwei rechtlichen Stühlen sitzen und entweder amerikanisches Recht befolgen (und schweigen) müssen oder über die Datenweitergabe entsprechend den europäischen Vorgaben informieren müssen. Im Übrigen besteht auch in dem Safe-Harbor-Abkommen eine Informationspflicht bei der Weitergabe von Daten an Dritte.
Ausblick
Es wird interessant sein zu beobachten, wie sich hier die verschiedenen nationalen Datenschutzbehörden verhalten und dem Verlangen von evf nachkommen, für Aufklärung zu sorgen, bzw. wie weit dies ihnen überhaupt möglich sein wird. Wichtig erscheint vor allem ein Handeln auf internationaler Ebene anzustoßen, wie dies etwa nun im Rahmen der Diskussion um die Wiedereinführung einer sog. „Anti-FISA-Klausel“ in der geplanten Datenschutz-Grundverordnung, der Fall ist. Dennoch kann dies in Bezug auf Auskunftsverlangen und Überwachungsmaßnahmen staatlicher Geheimdienste nur einen Teil der Lösung darstellen, da diese Geheimdienste derzeit gar nicht in den Anwendungsbereich der Datenschutzgesetze fallen. Daher scheinen Verhandlungen auf internationaler Ebene in Bezug auf eine abgsteimmte Änderung und Anpassung der jeweiligen nationalen Anforderungen an die Geheimdienste ebenfalls unabdingbar.