Nach der Aufdeckung und den Berichten über ein breit angelegten Abgreifens von Nutzerdaten von Servern amerikanischer Unternehmen wie Google, Facebook und Yahoo durch den amerikanischen Geheimdienst im Rahmen des sogenannten „Projekt Prism“, stellt sich die Frage, inwiefern Übermittlungen von personenbezogenen Daten europäischer Bürger an US-amerikanische Unternehmen noch dem europäischen Datenschutzrecht entsprechen.
Safe Harbor
Nach Art. 25 Abs. 1 der geltenden Datenschutzrichtlinie (RL 95/46 EG) sind Übermittlungen personenbezogener Daten in Drittländer, wie etwa die USA, nur erlaubt, wenn dieses Drittland ein angemessenes Schutzniveau in Bezug auf die Daten vorweisen kann. Da dies für die USA nicht der Fall war (denn hier wird, anders als in Europa ein sektoraler Schutzansatz in Bezug auf personenbezogene Daten durchgeführt), verständigte sich die Europäische Kommission mit dem amerikanischen Handelsministerium auf die Vereinbarung des sog. „Safe Harbor“ Abkommens (2000/520/EG).
Hierin werden verschiedene Standards und Pflichten für amerikanische Unternehmen vereinbart (eine kurze Übersicht findet sich etwa beim Bundesbeauftragten für Datenschutz), welche diese erfüllen müssen, wenn sie an dem freiwilligen Zertifizierungsprogramm der Federal Trade Commission (FTC) und damit an Safe Harbor teilnehmen möchten. Als Ergebnis können dann personenbezogene Daten aus Europa nach Amerika, an diese zertifizierten und von der FTC überwachten Unternehmen, übertragen werden, ohne dass ein Verstoß gegen die Datenschutzrichtlinie im Raum steht.
Zu erfüllende Pflichten und Verstöße durch Prism
Unter anderem müssen die amerikanischen Unternehmen die Betroffenen darüber informieren, an welche Kategorien von Dritten die Daten weitergegeben werden. Dies gilt gerade auch für den Fall, dass Daten zu anderen Zwecken verwendet werden als denen, für die sie von der übermittelenden Organisation ursprünglich erhoben wurden. Bei einem Verstoß drohen Sanktionsmaßnahmen durch die FTC. Nutzer hätten daher darüber informiert werden müssen, wenn ihre Daten an US-Behörden weitergegeben oder von diesen direkt von den Servern abgegriffen werden. Natürlich kann diese Pflicht nur erfüllt werden, wenn die Unternehmen tatsächlich Kenntnis der Maßnahmen der Geheimdienste besitzen. Derzeit verteidigen sich Google, Apple und andere damit, dass sie nicht wissentlich Daten an die Behörden weitergegeben hätten. Sollte dies zutreffen, so hätten sie auch nicht ihre Informationspflicht verletzt.
Auch dürfen Daten nicht ohne vorherige Information an Dritte, wie etwa die US-Behörden, weitergegeben werden. Anders sähe es aus, wenn die Weitergabe an Institutionen erfolgt, die im Auftrag der Unternehmen tätig werden und ebenfalls dem Safe Harbor Abkommen unterliegen. Diese Möglichkeit scheidet jedoch für den amerikanischen Geheimdienst aus, da eine Auftragsdatenverarbeitung nach den Aussagen der Unternehmen ja gerade nicht stattfindet, da man keine Kenntnis von der Übertragung der Daten an die Behörden besitze.
Besteht ein angemessenes Schutzniveau?
Unabhängig von der Frage, ob die amerikanischen Unternehmen Pflichten verletzt haben oder nicht, muss man jedoch in einem größeren Kontext darüber nachdenken, ob Safe Harbor überhaupt noch ein „angemessenes Schutzniveau“ herstellen kann, wenn ohne Kenntnis der Unternehmen personenbezogene Daten europäischer Nutzer überwacht und abgegriffen werden können.
Art. 25 Abs. 6 der Datenschutzrichtlinie erlaubt der Europäischen Kommission nur dann ein angemessenes Schutzniveau in Bezug auf ein Drittland festzustellen, wenn dieses „hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau … gewährleistet“. Nach den nun bekannten gewordenen systematischen Überwache, Aufzeichnen und Analysieren von personenbezogenen Daten, scheint diese Gewährleistung mehr als fraglich. Denn selbst wenn sich die amerikanischen Unternehmen an ihre Verpflichtung halten, so ist es das Drittland, also die USA, welches das angemessene Schutzniveau zu gewährleisten hat. Werden jedoch staatliche Behörden hinter dem Rücken der Unternehmen aktiv und ziehen massenhaft Daten europäischer Nutzer ab, so erscheint es schwer vorstellbar, noch von einem angemessenen Schutzniveau in dem Drittland sprechen zu können bzw. dass die eigentlich privilegierten Unternehmen dieses noch gewährleisten.
Was wären die Folgen?
Wird bzw. kann in den USA und in den am Safe Harbor Programm teilnehmenden Unternehmen tatsächlich kein angemessenes Schutzniveau gewährleistet werden, etwa auch nicht durch Aufsichtsmaßnahmen der FTC, so haben zum einen die Mitgliedstaaten und die Europäische Kommission nach Art. 25 Abs. 3 der Datenschutzrichtlinie die Pflicht, sich über Fälle zu unterrichten, in denen ihrer Erachtens ein angemessenes Schutzniveau nicht (mehr) gewährleitstet ist. Ergibt eine Prüfung durch die Kommission, dass es an dem Schutzniveau fehlt und stellt sie dies nach Art. 25 Abs. 4 der Datenschutzrichtlinie fest, so haben „die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt“ zu treffen. Zudem bestünde die Möglichkeit, das Safe Harbor Abkommen nachzuverhandeln und strengere Regeln einzuführen.
Ausblick
Es wird sich zeigen, welche Folgen die nun aufgedeckten Praktiken des amerikanischen Geheimdienstes für den transatlantischen Datenverkehr haben werden. Vielleicht auch keine. Die EU-Kommission und die Mitgliedstaaten sollten sich hier jedoch, gerade vor dem Hintergrund der Erarbeitung der neuen Datenschutz-Grundverordnung, deutlich positionieren und dazu äußern. Erwägungsgrund 90 der Datenschutz-Grundverordnung sieht die Gefahr, dass in Dirttländern Rechtsakte erlassen werden , welche das europäische Datenschutzniveau nicht einhalten und „dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen„. Auch hier soll eine Übermittlung nur zulässig sein, wenn die Voraussetzungen der Datenschutz-Grundverorndung an eine Datenübermittlung in ein Drittland eingehalten werden. Diese Ereignisse machen auf jeden Fall deutlich, dass die Masse der Bevölkerung und Internetnutzer wohl so langsam aus einer Art Dornröschenschlaf in Bezug auf den Schutz ihrer personenbezogenen Daten erwachen wird. Eventuell wird auch das Thema „Datenschutz als Wettbewerbsvorteil“ wieder verstärkt eine Rolle spielen.