Datenschützer Johannes Caspar: „Halten Sie Ihre Daten besser in Europa“

Herr Caspar, vor zwei Wochen hat der Europäische Gerichtshof (EuGH) die bisherige Praxis der Datenweitergabe in Richtung USA gekippt. Die irische Datenschutzbeauftragte Helen Dixon musste dennoch zusätzlich von einem irischen Gericht angewiesen werden, die Beschwerde gegen Facebook nun zu prüfen. Ist das EuGH-Urteil zu Safe Harbor nicht eindeutig genug?

Das Urteil ist eindeutig. Mit Blick auf Facebook und Irland hat es sich allerdings um ein Vorab-Entscheidungsverfahren gehandelt. Der Irish High Court hatte das Verfahren zunächst ausgesetzt, um die europarechtlichen Fragen vom Europäischen Gerichtshof entscheiden zu lassen. Das ist nun geschehen. Der EuGH hat klar festgestellt, dass die nationalen Datenschutzbehörden die Datenübermittlung auch trotz einer Kommissionsentscheidung wie Safe Harbor zu überprüfen haben. Nun sind also unsere Kollegen in Irland wieder am Zuge und müssen die Datenübermittlung von Facebook Irland in die USA überprüfen. Safe Harbor wird dabei keine Rolle mehr spielen. Wir werden uns den Fortgang des Verfahrens anschauen. Letztlich hat der EuGH in einer anderen kürzlich ergangenen Entscheidung bestätigt, dass nationales Recht auf Unternehmen wie Facebook, die in mehreren anderen Mitgliedstaaten Niederlassungen haben, anwendbar ist. Wir werden also sehen.

Am Mittwoch haben sich die Datenschutzbeauftragten der deutschen Bundesländer getroffen, um über die Konsequenzen aus dem EuGH-Urteil zu diskutieren. Welche Ergebnisse hatte das Treffen?

Wir werden das Urteil mit Blick auf das unwirksame Safe-Harbor-Abkommen umsetzen. Auf der Grundlage dieses Abkommens können keine Daten mehr in die USA geschickt werden. Zunächst werden wir eine Liste von Unternehmen erstellen, die wir dann anschreiben. Dabei gilt es dann zu prüfen, ob und gegebenenfalls welche Daten in die USA übermittelt werden sowie auf welcher Grundlage dies geschieht. Mangels einer Anzeigepflicht kann eine Anfrage insbesondere bei Tochterfirmen von Unternehmen aus den USA sinnvoll sein, da bei diesen davon auszugehen ist, dass sie tatsächlich auch Daten in die USA übermitteln.

© picture alliance / dpa

An welchen Punkten werden die deutschen Datenschutzbeauftragten ansetzen?

Wir gehen davon aus, dass viele Unternehmen bereits Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien, sogenannte Binding Corporate Rules, als Grundlage der Übermittlung nutzen. Es besteht jedoch Einigkeit darüber, dass die grundsätzlichen rechtsstaatlichen Defizite im US-Rechtssystem hinsichtlich einer anlasslosen Massenüberwachung der elektronischen Kommunikation, auf die sich der EuGH bezieht, auch diese Instrumente belasten. Ob und inwieweit diese künftig zur Anwendung kommen können, wird derzeit noch von den europäischen und nationalen Datenschutzbehörden überprüft.

Welche Unternehmen werden sich in jedem Fall darauf befinden?

Zunächst werden wir Unternehmen auf die Liste setzen, bei denen die Wahrscheinlichkeit hoch ist, dass sie Daten in die USA übermitteln. Dies ist insbesondere bei denjenigen Unternehmen der Fall, die dem Safe-Harbor-Abkommen beigetreten sind und eine Tochtergesellschaft in Deutschland haben.

Also nicht nur Unternehmen aus dem Bereich Social Networks.

Nein, es geht um den gesamten Bereich von Unternehmen, bei denen Kontakte in die USA bestehen und bei denen davon auszugehen ist, dass sie Daten dorthin exportieren.

Bei wem wird die Federführung liegen? Ich frage das, weil Facebook und Google ihren Deutschlandsitz in Hamburg haben.

Wir halten an dem bewährten Verfahren fest. Die Zuständigkeit wird danach beurteilt, wo die Unternehmen ihren Hauptsitz haben.

Aber die Datenschutzbeauftragen der Länder marschieren in eine Richtung, oder?

Davon gehe ich aus. Das große Problem bei der Umsetzung des EuGH-Urteils ist, dass es eng begrenzt die Safe-Harbor-Entscheidung adressiert, in seinen Auswirkungen aber sehr viel weiter geht.

Was heißt das konkret?

Wir haben ja bereits über Alternativinstrumente wie die Standardvertragsklauseln gesprochen. Die sind im Prinzip von dem Urteil ebenfalls betroffen. Die Defizite der rechtsstaatlichen Struktur, die mangelnde Geltung der Grundrechte und des Verhältnismäßigkeitsgrundsatzes, können auch diese nicht beheben. Wir werden sie daher kritisch hinterfragen müssen. Die Frage ist nur, in welcher Weise. Dazu gibt es unterschiedliche Auffassungen. Datenschutzbehörden haben eine andere Aufgabe als Handelskammern. Wir müssen uns in erster Linie schützend vor die digitalen Grundrechte der Betroffenen stellen. Dabei kann es passieren, dass wir auch mal wirtschaftlich unpopuläre Entscheidungen treffen.

Das Urteil stellt die Datenspeicherung in den USA grundsätzlich infrage. Können sich Nicht-EU-Unternehmen überhaupt EU-Datenschutz-konform verhalten?

Es gilt der Grundsatz, dass wer unsere Daten importiert, auch einen angemessenen Schutzstandard für diese importieren muss. Snowdens Enthüllungen über Prism und die vielen anderen Programme der massenhaften Überwachung zeigen aber, dass dies in den USA nicht der Fall ist. Das Problem lässt sich nicht auf der Basis von Unternehmensreglungen oder Zertifizierungen kompensieren. Hier ist eine Entscheidung der USA erforderlich. Diese müssen sich in den Verhandlungen mit der EU-Kommission kooperativ zeigen.

Ein Speichern von europäischen Daten auf europäischen Servern reicht aber nicht aus?

Wenn Unternehmen wie Facebook Irland die Daten ausschließlich dort verarbeiten und nicht in die USA übermitteln, stellt sich die Frage nach einer besonderen Übermittlungsgrundlage nicht.

Ein Kritikpunkt der Richter ist, dass EU-Bürger keine Möglichkeit haben, gegen das Ausspähen der Daten in den USA rechtlich vorzugehen. Einige Beobachter glauben, auf US-Seite Bewegung zu sehen.

Es werden gegenwärtig Ansätze, etwa die Judicial Redress Bill, diskutiert, die durchaus in diese Richtung weisen. Ob das aber ausreicht, ist fraglich. Es wird entscheidend sein, was am Ende für die betroffenen Nutzer in Europa dabei herauskommt. Einige kleine kosmetische Korrekturstriche reichen für ein Safe Harbor 2.0 nicht aus. EU-Bürger müssen gerichtlichen Rechtsschutz in den USA genießen, es muss ein materieller Schutz der Privatsphäre bestehen und eine unspezifische Massenüberwachung elektronischer Kommunikation darf es nicht geben.

Ob beim Recht auf Vergessenwerden oder nun bei Safe Harbor: In beiden Fällen musste erst ein Gericht das Offensichtliche feststellen.

Die Wirksamkeit von Safe Harbor zweifeln wir, wie im Übrigen auch das Europäische Parlament, schon seit Langem an. Es war ein großer Fehler, dass die verantwortlichen Stellen, die EU-Kommission und die Regierungen in den Mitgliedstaaten, den Snowden-Skandal weitgehend hingenommen haben und zur Tagesordnung übergegangen sind. Da sind rechtsstaatliche Maßstäbe verschoben worden, die das Urteil nun anmahnt.

Wann fliegt uns das Ganze um die Ohren?

Sollte sich erweisen, dass Unternehmen nicht mehr wie bisher auf Standardvertragsklauseln oder verbindliche Unternehmensreglungen ausweichen können, wird es für Unternehmen, die Daten in die USA schicken, eng. Um unangenehmen Entwicklungen zu entgehen, sollten die betroffenen Unternehmen sich jetzt schon einmal überlegen, die Daten besser in Europa zu halten.

Das Interview führte Kurt Sagatz.

Johannes Caspar ist seit 2009 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Im Mai diesen Jahres wurde er in seinem Amt bestätigt.