Brüssel. Seit der Europäische Gerichtshof (EuGH) die Pauschalerlaubnis zur Übertragung europäischer Nutzerdaten in die USA, Safe Harbour, gekippt hat, warten die IT-Branche und ihre Kunden auf eine Neuregelung. Die EU-Kommission hat nun eine Frist bis Ende Jänner 2016, um mit den USA eine Neuregelung auszuhandeln, die auf Massenüberwachung verzichtet. Das hat jetzt die sogenannte „Artikel-29-Gruppe“ erklärt – ein für das Thema wichtiges Gremium, das bis jetzt kaum durch öffentliche Aktivität aufiel. In Härtefällen will man schon vor Februar 2016 eingreifen.
Die Artikel-29-Gruppe besteht aus je einem Vertreter der jeweiligen nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem – nicht stimmberechtigten – Vertreter der Europäischen Kommission. Eingerichtet wurde sie bereits vor 20 Jahren von der EU-Datenschutzrichtlinie 95/46/EC. Vorsitzende der Artikel-29-Gruppe ist derzeit Isabelle Falque-Pierrotin (Frankreich).
Passiert nichts Gravierendes, trifft sich die Artikel-29-Gruppe nur wenige Male im Jahr; für den Safe Harbour-Entscheid hat man Sonderschichten eingelegt. Die Gruppe ist gegenüber den EU-Organen und -Einrichtungen grundsätzlich unabhängig und trifft ihre Entscheidungen nach dem Mehrheitsprinzip (d.h. auch die von Facebook-Jäger Max Schrems so gern gescholtene irische Datenschutzbehörde hat Sitz und Stimme).
Als glühender Verfechter der Anliegen von Schrems ist die Gruppe bis jetzt zumindest öffentlich nicht in Erscheinung getreten, ihre Meinung hat aber Gewicht: Sie soll die nationalen und EU-Behörden beraten und Empfehlungen abgeben. Und was empfiehlt sie also? Entscheidend sei, dass das angepeilte neue Abkommen, sozusagen „Safe Harbour 2.0“, rechtlich und technisch die Auflagen des EuGH erfüllt, so die europäische Datenschutzgruppe.
Das Gesetz der einen, der Verstoß der anderen
Das Grundproblem orten Beobachter bei der durch Edward Snowden und andere aufgedeckten Massenüberwachung von Nutzerdaten in den USA. Diese hat dort durchaus eine gesetzliche Grundlage, und genau das ist das Problem: der EuGH fordert, dass das Sammeln und Auswerten von europäischen Nutzerdaten in den USA auf das Notwendigste beschränkt wird.
Die USA müssten also ihm zuliebe ihre Gesetze ändern – oder sich im neuen Abkommen mit der EU-Kommission diesbezüglich selbst einschränken, was europäische Bürger betrifft. Konkret heißt es in der Stellungnahme der Artikel-29-Gruppe: “ In any case, these solutions should (…) be assisted by clear and binding mechanisms and include at least obligations on the necessary oversight of access by public authorities, on transparency, on proportionality, on redress mechanisms and on data protection rights.“
Erschwerend kommt übrigens hinzu, dass die EU selbst derzeit eine Datenschutzreform vorbereitet, die laut dem zuständigen EU-Kommissar Günther Oettinger Vorrang hat. Sie soll noch in diesem Jahr beschlossen werden.
Eine Galgenfrist
Bis Ende Jänner dürfen Unternehmen jedenfalls EU-Standardvertragsklauseln und Binding Corporate Rules nützen, um trotz Safe Harbour-Ende ihre Nutzerdaten über den großen Teich zu schicken, so die Artikel-29-Gruppe: „In the meantime, the Working Party will continue its analysis on the impact ofthe CJEU judgment on other transfer tools. During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used.“
In Härtefällen will man aber auch davor schon eingreifen: „In any case, this will not prevent data protection authorities to investigate particular cases, for instance on the basis of complaints, and to exercise their powers in order to protect individuals.“ Immerhin ist auch ein Kernelement des Schrems betreffenden EuGH-Urteils, dass die irische Datenschutzbehörde jetzt seine Facebook-Beschwerde wieder aufgreifen muss.
Nach Ablauf der Frist müssen die europäischen Datenschutzbehörden dann einschreiten, heißt es: „If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions.“ Der Satz lässt freilich durchaus auch Spielraum, denn „depending on the assessment of the transfer tools“ könnte also auch noch etwas Anderes passieren.
Auf jeden Fall sind Datentransfers in die USA auf Basis des gekippten Safe Harbour-Abkommens ab sofort ungesetzlich, heißt es auch bei der Artikel-29-Gruppe: „In any case, transfers that are still taking place under the Safe Harbour decision after the CJEU judgment are unlawful.“
Eine von der IT-Branche diskutierte Möglichkeit wäre, europäische Nutzerdaten nur noch auf Servern in Europa zu verarbeiten. Das ist zwar verlockend, allerdings stellen sich die USA auf den Standpunkt, dass sie US-Unternehmen sehr wohl anweisen können, auch Daten aus dem Ausland zugänglich zu machen.
Link: Artikel-29-Gruppe (Stellungnahme zum Safe Harbour-Ende)
