Nach EuGH-Urteil zu Safe Harbor: Europas Datenschutzbehörden im Rampenlicht

Isabelle Falque-Pierrotin, Vorsitzende der Artikel-29-Datenschutzgruppe. [Wikipedia]

Europas Datenschutzbeamte rücken nach dem EuGH-Urteil zum „Safe Harbor“-Abkommen zur Regelung des Datenverkehrs zwischen den USA und EU-Ländern immer mehr ins Rampenlicht. EURACTIV Brüssel berichtet.

Nationale Datenschutzbehörden der Mitgliedsstaaten werden am Donnerstag in Brüssel zusammenkommen, um eine Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) abzustimmen.

Die Artikel-29-Datenschutzgruppe setzt sich aus Vertretern der Kontrollstellen der EU-Mitgliedsstaaten und EU-Beamten zusammen. Die Gruppe ist die weltweite Aufmerksamkeit nicht gewohnt – doch das EuGH-Urteil zeigt ihre Wichtigkeit.

Es ist ihre Aufgabe, die potenzielle Flut an neuen Verbraucherbeschwerden aus ganz Europa wegen Datenschutzverletzungen zu verwalten. Die Richter erklärten Safe Harbor für rechtswidrig. Also befinden sich die nationalen Datenschutzbehörden in der Schusslinie. Sie erhalten die Beschwerden über Unternehmen, die zu Unrecht Nutzerdaten in die USA übertrugen – unter Anführung des Safe Harbor-Abkommens.

Es „bestehen ernsthafte Fragen hinsichtlich des Fortbestands des Datenschutzniveaus, wenn Daten in die Vereinigten Staaten übermittelt werden“, erklärte die Artikel-29-Gruppe in einer Stellungnahme – trotz des EuGH-Urteils, das Safe Harbor für illegal erklärt.

Der Europäische Datenschutzbeauftragte Giovanni Buttarelli ist ebenfalls ein Mitglied der Artikel-29-Datenschutzgruppe.

Isabelle Falque-Pierrotin, Leiterin der französischen Datenschutzbehörde CNIL, hat den rotierenden Gruppenvorsitz der Datenschutzgruppe inne.

Zusätzlich zum Treffen in dieser Woche plant die Gruppe Artikel 29 eine außerordentliche Plenarsitzung. Dabei will sie die Vorgehensweise für Datenschutzbeschwerden und den Datentransfer ausarbeiten. Gegenüber EURACTIV teilten Beamte mit, dass es wahrscheinlich in der nächsten Woche stattfinden wird.

Die Treffen finden zu einer Zeit statt, in der den nationalen Datenschutzbehörden neue Befugnisse zur Prüfung von Datenschutzbeschwerden eingeräumt wurden.

Genau hier setzt das EuGH-Urteil an. Nationale Behörden hätten durch Safe Harbor nicht die Möglichkeit zu bestimmen, ob die individuelle Weitergabe von Daten in die USA gegen die Datenschutzrechte von EU-Bürgern verstoßen, wie die EuGH-Richter bemängeln.

Rund 4.400 Unternehmen unterzeichneten das 15 Jahre alte Abkommen. Es ermöglichte ihnen die Weitergabe von europäischen Verbraucherdaten in die USA. Die Unternehmen waren nicht gezwungen, individuell nachzuweisen, dass ihre Datenschutzstandards im Einklang mit europäischen Regeln waren.

Ohne Safe Harbor gehen Beschwerden gegen Verstöße der Unternehmen direkt an die nationalen Behörden.

Doch diese neue Rolle für die nationalen Datenschutzwächter sorgt bei einigen Beamten für Kopfzerbrechen. Sie warnen vor einem zersplitterten System. Die Behörden in Europa könnten Fälle in ihren eigenen Ländern ohne Rücksicht auf EU-Standards beurteilen.

Die Kommission würde die Unternehmen beraten, die nach alternativen Wegen für die Weitergabe von Daten an die USA suchen, erklärte der erste Vizepräsident Frans Timmermans gestern in einer Reaktion auf das Urteil. Der Rat der Kommission „sollte helfen, ein Flickwerk von möglicherweise widersprüchlichen Entscheidungen der nationalen Datenschutzbehörden zu verhindern“, so Timmermans.

Einige nationale Datenschutzbehörden lobten das Safe Harbor-Urteil gestern. Sie begrüßten sogar ihre neue, erweiterte Rolle bei der Bewältigung der Beschwerden.

„Wir brauchen eine abgestimmte Antwort auf europäischer Ebene, auch von den nationalen Datenschutzbehörden, und dieses Mal müssen wir die effektivsten Wege zur Bestimmung gemeinsamer Vorgaben berücksichtigen“, so Antonello Soro, Präsident der italienischen Datenschutzbehörde.

Die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit Andrea Voßhoff nannte das EuGH-Urteil „einen Meilenstein für den Datenschutz“.

„Die Entscheidung bedeutet auch eine spürbare Stärkung der Befugnisse der europäischen Datenschutzbehörden als Wächter der Datenschutzrechte der europäischen Bürger“, so Voßhoff.

Das Treffen der nationalen Regulierer kommt vor der Entscheidung der irischen Behörden zu einem Fall, der auch in das EuGH-Urteil einfloss.

Der 27-Jährige Österreicher Max Schrems klagte 2013 gegen Facebook, das seinen Sitz in Irland hat – wegen der Verletzung seiner Datenschutzrechte. Der EuGH gab den Fall an die irischen Behörden zurück, nachdem ein irischer Richter ihn im vergangenen Jahr an den höchsten europäischen Gerichtshof weitergab. Die irischen Behörden müssen den Fall jetzt wieder aufnehmen.

Die irischen Datenschutzbehörden gelten oft als weniger streng im Vergleich zu anderen Datenschutzregulierern. Insbesondere EU-Länder mit strengen Datenschutzregeln werden der Entscheidung der irischen Regulierer im Fall Schrems nicht folgen wollen. Das wäre eine Herausforderung für das Bestreben der nationalen Behörden, eine koordinierte Antwort auf Datenschutzbeschwerden zu finden.

Große amerikanische Technologieunternehmen wie Facebook und Google haben ihren europäischen Hauptsitz in Irland.

Einige Datenschutzexperten fordern eine Strategie auf höherer Ebene für Datenschutzbeschwerden. Sie gehen von zersplitterten Datenschutzregeln aus, sollte den nationalen Datenschutzbehörden zu viele Befugnisse eingeräumt werden.

Anne Carblanc von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) äußerte Bedenken, dass die nationalen Behörden auf Einzelfallbasis entscheiden könnten.

„Man kann nicht alles auf Einzelfallbasis machen“, sagte die Leiterin der Abteilung digitale Wirtschaftspolitik, Wissenschaft, Technologie und Innovation der OECD. Eine Einzelfall-Analyse durch jede nationale Datenschutzbehörde werde nicht helfen. Carblanc zufolge gibt es zu viele nationale Datenschutzbehörden.

„Wir benötigen etwas auf höherer Ebene. Wir brauchen einen gesamtgesellschaftlichen Ansatz. Es könnten die Staatsoberhäupter oder die Ministerpräsidenten sein, die erwägen, was die Gesellschaft will und wo die Vorteile liegen.“

Hintergrund

Die bestehenden europäischen Regeln zum Datenschutz wurden 1995 verabschiedet. Damals steckte das Internet noch in den Kinderschuhen.

Die Kommission veröffentlichte im Januar 2012 ein weitgehendes Gesetzespaket. Es soll die bestehenden Regeln ersetzen und persönlichen Daten in der ganzen EU mehr Schutz einräumen.

Das Paket enthält zwei Gesetzesvorschläge: Eine allgemeine Verordnung zum Datenschutz (in allen Mitgliedsstaaten direkt anwendbar) sowie eine Richtlinie, die besonders auf den Datenschutz im Polizei- und Justizsystem ausgerichtet ist (sie muss in nationales Recht umgewandelt werden).

Seither nahm die Debatte zum Datenschutz wegen der Snowden-Enthüllungen zu US-Abhöraktivitäten und dem NSA-Programm Prism eine neue Wendung.

Europäische Politiker reagierten verärgert auf die Enthüllungen und verlangen striktere Maßnahmen zum Datenschutz.