Die Drohung mit der Aussetzung von Safe Harbor
Die Datenschutzbeauftragten von Bund und Ländern haben sich diese Woche mit den Auswirkungen der Überwachungsmaßnahmen durch die NSA befasst. In einer gemeinsamen Stellungnahme drohen sie einen gewaltigen Schritt an: Das Safe-Harbor-Abkommen, Grundlage für einen großen Teil des Datentransfers zwischen Europa und den USA, auszusetzen.
Eine Ankündigung wie ein Paukenschlag – die sich rechtlich aber kaum halten lässt.
Hintergrund: Safe Harbor Abkommen
Nach der europäischen Datenschutzrichtlinie dürfen personenbezogene Daten nur in solche außereuropäische Drittstaaten übermittelt werden, die ein mit der EU vergleichbares Datenschutzniveau gewährleisten. Auf die USA trifft das nicht zu. Um dennoch datenschutzrechtlich relevante Daten in die USA übertragen zu dürfen, gibt es verschiedene Ansätze, um einzelne Unternehmen auf europäische Datenschutzstandards zu verpflichten.
Dazu gehört auch die Safe-Harbor-Vereinbarung. Danach können sich Unternehmen zur Einhaltung datenschutzrechtlicher Prinzipien (Safe Harbor Principles) verpflichten und in eine Liste zertifizierter Unternehmen beim US-Handelsministerium eintragen lassen. In der Folge ist die Übermittlung an diese Unternehmen zulässig, auch wenn sie sich in einem datenschutzrechtlich unsicheren Drittland befinden.
Die Aussetzung von Safe Harbor
In einer gemeinsamen Stellungnahme weisen nun die deutschen Datenschutzbeauftragten darauf hin, dass sie als Aufsichtsbehörden berechtigt sind, die Datenübertragung auf Grundlage des Safe-Harbor-Abkommens auszusetzen. Genehmigungen für Datenübertragungen auf Grundlage anderer Ausnahmen für unsichere Drittstaaten wie die USA (z.B. auf Grundlage von Standardvertragsklauseln) werden vorerst nicht erteilt:
„Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.
Dieser Fall ist jetzt eingetreten. […]
Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”
Damit stellen die Datenschutzbeauftragten nicht weniger in Aussicht, als die Übermittlung von personenbezogenen Daten in die USA auf Grundlage von Safe-Harbor vollständig zu unterbinden. Liest man die Stellungnahme genau, findet sich dort nicht nur ein Appell an die Bundesregierung und die EU-Kommission. Anders als vielfach berichtet scheinen die Datenschutzbehörden selbst eine Aussetzung von Datenübertragungen durchsetzen zu wollen („[…] werden die Aufsichtsbehörden für den Datenschutz […] prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind”). Eine Prüfung durch die Europäische Kommission erfolgt allerdings bereits parallel.
Die rechtlichen Grundlagen
Hintergrund der Androhung der deutschen Datenschutzbeauftragten ist Art. 3 Abs. 1 der Kommissionsentscheidung 2000/520/EG aus dem Jahr 2000 über das Safe-Harbor-Abkommen. Diese Vorschrift erlaubt es den nationalen Datenschutzbehörden die Übertragung von Daten auf Grundlage von Safe Harbor unter bestimmten Voraussetzungen auszusetzen. Im Wortlaut heißt es in der Norm:
„Ungeachtet ihrer Befugnisse […] können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an eine Organisation auszusetzen, die den Grundsätzen, die entsprechend den FAQ umgesetzt wurden, beigetreten ist, wenn
a) die in Anhang VII dieser Entscheidung erwähnte staatliche Einrichtung in den Vereinigten Staaten oder eine unabhängige Instanz im Sinne von Buchstabe a) des in Anhang I dieser Entscheidung erwähnten Durchsetzungsgrundsatzes feststellt, dass die betreffende Organisation die Grundsätze, die entsprechend den FAQ umgesetzt wurden, verletzt oder
b) eine hohe Wahrscheinlichkeit besteht, dass die Grundsätze verletzt werden; wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde, und wenn die zuständigen Behörden in den Mitgliedstaaten die Organisation unter den gegebenen Umständen in angemessener Weise unterrichtet und ihr Gelegenheit zu Stellungnahme gegeben haben.”
Auf den ersten Blick werden die national zuständigen Behörden (also die Datenschutzbeauftragten) in der Tat ermächtigt, die Datenübermittlung auf Grundlage des Safe-Harbor-Abkommens auszusetzen. Allerdings sieht die Vorschrift einige Einschränkungen vor.
Voraussetzungen für eine Aussetzung
Datenübermittlung „an eine Organisation”
Zunächst ist in der Vorschrift lediglich von einer Datenübermittlung „an eine Organisation” die Rede. Das spricht dafür, dass die Datenschutzbehörden im Einzelfall die Datenübermittlung an ein einzelnes Unternehmen aussetzen können – nicht aber das Safe-Harbor-Abkommen insgesamt. Dafür spricht auch Ziff. b) der Vorschrift, wonach die jeweilige Organisation unterrichtet und ihr Gelegenheit zur Stellungnahme gegeben werden muss. Eine Aussetzung des Safe-Harbor-Abkommens wäre demnach nur dann möglich, wenn jedes einzelne betroffene US-Unternehmen informiert und angehört wurde.
„Unmittelbar bevorstehendes Risiko eines schweren Schadens”
Darüber hinaus muss durch die Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweren Schadens” geschaffen werden. Ein „unmittelbar bevorstehendes Risiko” dürfte zumindest nach deutschem Rechtsverständnis mehr sein, als eine bloß abstrakte Gefahr. Die Datenschutzbehörden müssten also nachweisen, dass für „die betroffenen Personen” (also mehr als nur in einem Einzelfall) das konkrete Risiko eines schweren Schadens besteht. Das dürfte schwer zu bewerkstelligen sein. Denn ob PRISM überhaupt einen Verstoß gegen Safe Harbor darstellt, ist nicht völlig eindeutig. Der irische Datenschutzbeauftragte sieht in der Überwachung durch die NSA keinen Verstoß gegen Safe Harbor, solange sich die amerikanischen Unternehmen selbst weiterhin an die Vorgaben von Safe Harbor halten.
Der Grund dafür ist auch nachvollziehbar: Die Vorschrift ist nicht darauf ausgelegt, das Safe-Harbor-Abkommen insgesamt vorläufig außer Kraft zu setzen. Sie soll vielmehr in Einzelfällen die Möglichkeit eröffnen, einem Unternehmen die Privilegien seiner Safe-Harbor-Zertifizierung zu entziehen – etwa wenn die hohe Wahrscheinlichkeit besteht, dass es sich nicht an die Vorgaben des Abkommens hält.
Kontext von Safe-Harbor
Dafür spricht auch die Geschichte der Safe-Harbor-Lösung. Bei Safe Harbor handelt es sich nämlich weder um eine europäische Richtlinie, noch um eine Verordnung oder einen völkerrechtlichen Vertrag, sondern um einen lange ausgehandelten Kompromiss zwischen der Europäischen Kommission und den USA, der in einer Kommissionsentscheidung festgelegt wurde. Es handelte sich dabei in erster Linie um eine pragmatische Lösung, die den Datentransfer in die USA ermöglichen und das Problem des unterschiedlichen Datenschutzniveaus überbrücken sollte. Wie genau Safe Harbor rechtsdogmatisch einzuordnen ist, ist jedoch hochumstritten. In Anbetracht dessen ist es schwer vorstellbar, dass die Europäische Kommission den Bestand dieser wichtigen aber wackeligen Kompromisslösung vollständig in die Hände der nationalen Datenschutzbehörden legen wollte.
Gewaltenteilung
Hinzu kommt, dass ein Aussetzen von Safe Harbor durch die Datenschutzbeauftragten zu sehr schwierigen Fragen bezüglich der Gewaltenteilung kommen würde. Darf eine nationale Behörde einen europäischen Rechtsakt (wie auch immer er zu qualifizieren ist) mit Wirkung gegenüber einem Drittstaat (den USA) vollständig aussetzen? Kaum vorstellbar.
Fazit
Insgesamt erscheint es daher sehr unwahrscheinlich, dass die Datenschutzbehörden ihre Drohung tatsächlich wahr machen können. Abgesehen von den völlig unkalkulierbaren Auswirkungen, wenn von heute auf morgen ein bedeutender Teil der Datenübertragung von Deutschland in die USA nicht mehr datenschutzkonform zu machen wäre, stünde eine Aussetzung durch die deutschen Datenschutzbehörden auf einer rechtlich kaum tragbaren Grundlage.
Der Vorstoß der Datenschutzbeauftragten wirkt daher eher wie ein Hilferuf, um sich in der Diskussion um die Abhörmechanismen der USA Gehör zu verschaffen. Die USA sind ein schwerer Verhandlungspartner, wenn es um innere Sicherheit geht – mit den wirtschaftlichen Folgen einer Aussetzung von Safe Harbor hätte man möglicherweise ein besseres Druckmittel.
Der Ansatz ist also durchaus nachvollziehbar. Und dennoch kann es nicht Aufgabe nationaler Behörden sein, eine internationale Verständigung wie Safe Harbor vollkommen in Frage zu stellen und damit die Rechtslage von heute auf morgen auf den Kopf zu stellen. Wenn ein solcher Schritt überhaupt in Betracht kommt, dann ist er eine politische Entscheidung, die nicht von nationalen Behörden getroffen werden kann. Doch auch wenn die Drohung rechtlich wenig realistisch erscheint: Mit ihrer Stellungnahme haben die Datenschutzbeauftragten auf jeden Fall den Druck erhöht, vor allem auf die Europäische Kommission, die Safe Harbor sowieso schon seit Längerem kritisch im Blick hat. Vom Tisch ist das Thema also vermutlich noch lange nicht.
Die gemeinsame Stellungnahme von Bundes- und Landesdatenschutzbeauftragten.
Dr. Carlo Piltz zu der Frage, ob überhaupt eine Verletzung von Safe Harbor vorliegt.
