Gastbeitrag zur jüngsten Entscheidung des EuGH zu Safe Harbor

Das Urteil des Europäischen Gerichtshofs zum „Safe-Harbor“-Abkommen hat zur direkten Folge, dass Transfers personenbezogener Daten in die USA auf Grundlage des Abkommens nicht mehr möglich sind. In seinem Urteil machte der EuGH auf gravierenden Schutzlücken aufmerksam und verwies u.a. auf eine unzureichende Begrenzung der Zugriffe von staatlichen Behörden auf Datenbestände. Europäerinnen und Europäern stünden, so das Gericht, keine ausreichenden Rechtsschutzmöglichkeiten zur Verfügung. Nach der Entscheidung herrschen eine insgesamt große Verunsicherung und ein durchaus nachvollziehbarer Wunsch nach Rechtssicherheit. Gerade angesichts zahlreicher Unternehmen, die personenbezogene Daten bislang auf Grundlage des Abkommens in die USA übermittelt haben, aber auch hinsichtlich eines effektiven Rechtsschutzes für mehr als 500 Millionen Europäerinnen und Europäer besteht akuter Handlungsbedarf. Dennoch herrscht sowohl bei der Bundesregierung als auch der Europäischen Kommission weitgehend Ratlosigkeit. In einem Gastbeitrag für das Magazin des DIVSI plädiert Konstantin dafür, die jüngste Entscheidung als Chance zu begreifen.

Das Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 zum „Safe-Harbor“-Abkommen hat zur direkten Folge, dass Transfers personenbezogener Daten in die USA auf Grundlage des Abkommens nicht länger möglich sind. In seinem Urteil wies der EuGH auf gravierende Schutzlücken hin und verwies u.a. auf eine unzureichende Begrenzung staatlicher Zugriffe auf Datenbestände. Europäerinnen und Europäern stünden, so das Gericht, keine genügenden Rechtsschutzmöglichkeiten zur Verfügung.

Nach der Entscheidung herrschen eine große Verunsicherung und ein durchaus nachvollziehbarer Wunsch nach Rechtssicherheit. Gerade angesichts zahlreicher Unternehmen, die Daten bislang auf Grundlage des Abkommens übermittelt haben, aber auch hinsichtlich eines effektiven Rechtsschutzes für mehr als 500 Millionen Europäerinnen und Europäer besteht zweifellos akuter Handlungsbedarf.

Dennoch herrscht sowohl bei der Bundesregierung als auch der Europäischen Kommission weitgehend Ratlosigkeit bezüglich des weiteren Vorgehens. Dies ist umso unverständlicher als dass das Urteil absehbar war. Spätestens nach den Snowden-Enthüllungen war klar, dass ein angemessener Schutz unserer Daten in den USA nicht sichergestellt ist. Auf diesen Missstand haben wir immer wieder hingewiesen, und die Bundesregierung jahrelang aufgefordert, sich auf EU-Ebene für ein Ende von Safe-Harbor einzusetzen. Viel zu lang hat sie die Augen vor offensichtlichen Problemen verschlossen.    

In einem Gastbeitrag, den ich für das Magazin des DIVSI („Deutsches Institut für Vertrauen und Sicherheit im Internet“) verfasst habe, plädiere ich dafür, die jüngste Entscheidung als Chance zu begreifen. Den Originalbeitrag findet Ihr auf den Seiten des DIVSI.

Eine weitere wichtige Zäsur in der Netzpolitik

Blick nach vorn: Der transatlantische Wirtschaftsraum braucht einen stabilen und zukunftsfähigen neuen Rechtsrahmen.

Dr. Konstantin von Notz

Das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) ist die bislang wohl bedeutsamste Folge der Snowden-Enthüllungen. Das Gericht nimmt in seiner Urteilsbegründung ausdrücklich Bezug auf den Umfang und die Qualität weitgehend anlassloser Massenüberwachung der US-Geheimdienste, namentlich der National Security Agency (NSA). Im Kern argumentiert das Gericht, der dürftige Schutz für Informationen und Daten von EU-Bürgern stehe einer weiteren Übermittlung auf der Grundlage des sogenannten Safe-Harbor-Abkommens zum Datenaustausch zwischen der Europäischen Union und den USA entgegen.

Es ist der erste wirklich greifbare politische und ökonomische Preis, den insbesondere die USA für die Errichtung ihres globalen Überwachungssystems bezahlen müssen. Sosehr diese Reaktion mit Blick auf das Ziel der Wiederherstellung von Rechtsstaat und Menschenrechten angesichts einer außer Kontrolle geratenen geheimdienstlichen Kommunikationsüberwachung zu begrüßen ist, so wirft sie zahlreiche Fragen auf – nicht nur für die von der nun eingetretenen Rechtsunsicherheit betroffenen Unternehmen.

Paukenschlag

Zwar hätte man angesichts vorheriger Entscheidungen des Gerichts etwa zur Vorratsdatenspeicherung mit einem harschen, grundrechtlich orientierten Urteil rechnen können. In seiner Eindeutigkeit war es aber dann doch ein Paukenschlag. Und doch bleibt vor allem der Eindruck: Erneut musste erst die Justiz die Kuh vom Eis holen. Die Politik Brüssels wie auch Washingtons hat sich weit über ein Jahrzehnt über eine problembezogene Auseinandersetzung mit der Kritik an Safe Harbor hinweggesetzt. Trotz zahlreicher Warnungen und Aufforderungen, sich endlich angemessen und im Sinne einer dringend benötigten Rechtssicherheit mit der Problematik zu beschäftigen, hat man die sich abzeichnende Entwicklung viel zu lange ignoriert.

Denn die Safe-Harbor-Entscheidung von 2000 stand nicht nur von Beginn an in der grundrechtlich motivierten Kritik der institutionalisierten Datenschützer, sondern es gab schon sehr früh auch Bedenken wegen des mangelnden Vollzugs der im Abkommen festgelegten einzuhaltenden Mindeststandards durch die in den USA zuständige Federal Trade Commission (FTC). Doch niemand handelte. Das höchste europäische Gericht übernahm damit zumindest einen Teil der Aufgaben, die die Europäische Union und ihre Mitgliedstaaten im Hinblick auf das Bekanntwerden der Massenüberwachung hätten zwingend übernehmen müssen – sowohl im Sinne eines effektiven Grundrechtsschutzes von über 500 Millionen Europäern, genauso aber im Sinne der Unternehmen, deren Geschäftsmodelle heute oftmals auf dem transatlantischen Datenaustausch beruhen.

Die Bindung an die geltende EU-Grundrechtecharta, an die Europäische Menschenrechtskommission und mitgliedstaatliche Verfassungen gebietet die Umsetzung umfänglicher staatlicher Schutzpflichten. Dieser Verpflichtung kam man über Jahre, allerspätestens aber seit den Enthüllungen Edward Snowdens nicht nach. Dabei gehört die Gewährleistung vertraulicher Kommunikation in unseren Staaten zu den Grundvoraussetzungen nicht nur individueller Grundrechte, sondern auch der demokratischen Kultur. Diese jahrelangen Versäumnisse rächen sich jetzt – bitter. Die direkte Folge des Urteils des höchsten europäischen Gerichts sind eine nie da gewesene Rechtsunsicherheit und eine massive Verunsicherung ganzer Wirtschaftszweige.

Perspektive

Das Urteil steht damit auch beispielhaft für eine gescheiterte Politik des Aussitzens, sowohl diesseits als auch jenseits des Atlantiks. Europas Politik der letzten Jahrzehnte, seine vorrangig transatlantische Orientierung durch allzu großes Entgegenkommen auch und gerade in Grund- und Menschenrechtsfragen zu dokumentieren, sollte damit hoffentlich erst einmal ausgedient haben. Konsequenzen sind dringend nötig.

Netz- und datenschutzpolitisch braucht es zukünftig eigenständigere Perspektiven, die sich insbesondere aus den vermeintlichen Zwängen und Interessen der Digitalwirtschaft lösen und ihren Auftrag der Durchsetzung von Gemeinwohlinteressen, von Rechtsstaat und Grundrechten mit einem sehr viel größeren Nachdruck verfolgen. Auch die Erkenntnis, dass eine massenhafte und anlasslose Überwachung Gift für jede Demokratie, aber eben auch für die Wirtschaft ist, muss sich endlich auch bei denjenigen durchsetzen, die in den vergangenen Jahren immer für ein „muddling-through“ aussprachen.

Das Urteil markiert zudem eine weitere wichtige Zäsur in der Netzpolitik. Denn es verknüpft unwiederbringlich zwei bislang zumindest politisch peinlich genau auseinandergehaltene Perspektiven, namentlich die der staatlichen und die der privatwirtschaftlichen Datenverarbeitung. Gerade im Nachgang zu den Snowden-Veröffentlichungen hatte die Bundesregierung wie auch die Obama-Administration größten Wert darauf gelegt, den Fallout der Enthüllungen auf den staatlichen Bereich zu begrenzen.

Datenabgriffe

Das war von Anfang an ein schwieriges Unterfangen, denn durch das Überwachungsprogramm PRISM stand von Beginn an die äußerst fragwürdige Kooperation der Telekommunikationsprovider und der Internetprovider mit der US-amerikanischen NSA und anderen westlichen Geheimdiensten im Zentrum der Diskussion. Den Rufen insbesondere von Opposition und wenigen US-Unternehmen, die merkten, welche Auswirkungen die einsetzenden Diskussionen auf ihre Geschäftszahlen hatten, nach Konsequenzen aus der massenhaften Betroffenheit auch von EU-Bürgerinnen und -Bürgern durch diese Form verdeckter Datenabgriffe begegnete man mit dem Argument, die Wirtschaft dürfe nicht in die Haftung genommen werden für etwas, was sie selbst nicht veranlasst habe. Dieser Sicht der Dinge machte das Urteil endgültig einen Strich durch die Rechnung. Denn es lässt den Verweis auf eine unzureichende sicherheitsrechtliche Gesetzgebung in den USA ausreichen, um ein in erster Linie wirtschaftspolitisch motivertes Instrument des transatlantischen Handels zu kippen.

Dabei greift es nur den evidentesten Aspekt heraus: Die USA verfügen nicht über das nach europäischen Rechtsstandards notwendige, von der Europäischen Kommission inzwischen für zahlreiche Staaten festgestellte angemessene Datenschutzniveau. Das liegt insbesondere daran, dass Privacy eher punktuell konkret geregelt vorliegt und es damit keinen übergreifend angelegten Schutz von Informationen und Daten gibt.

Natürlich bedeutet die Entscheidung auch einen digitalpolitischen Paukenschlag im Hinblick auf die Entwicklung des Internets. Die weltumspannende Kommunikationsplattform Internet und seine weltweit verteilte Server- und Rechner-Infrastruktur haben technisch eine Globalisierung bewirkt, die bis heute in keiner Weise mit den Rechtssystemen der Staaten zusammenfindet.

Die Snowden-Enthüllungen der letzten zwei Jahre haben uns die ganze Verletzlichkeit unserer IT-Infrastrukturen, in die wir uns alle Hals über Kopf begeben haben, schmerzhaft vor Augen geführt. Der nationale Gesetzgeber hat es über Jahre verpasst, einen rechtlichen Rahmen vorzugeben, genauso fehlen bis heute internationale Regelungen zum Schutz digitaler Infrastrukturen.

Der EuGH dagegen hat für die Frage des Umgangs mit personenbezogenen Informationen jetzt eine klare Linie vorgegeben: die Teilnahme an der weiter wachsenden globalen Informationsgesellschaft führt für die EU-Bürger nicht zur Aufgabe ihrer Grundrechte. Vielmehr stehen EU und die Mitgliedstaaten in der Pflicht, von allen ihren Handelspartnern ein Schutzniveau einzufordern, welches am Ende auch durch nationales Recht und tatsächlichen Rechtsschutz gewährleistet sein muss.

Klar ist damit: Eine Reform der Rechtsgrundlagen setzt grundlegende Änderungen des Rechts in den USA voraus. Weder das sogenannte „Umbrella Agreement“ noch eine schnelle Wiederauflage des Safe-Harbor-Abkommens werden dafür ausreichen. Der transatlantische Wirtschaftsraum braucht vielmehr einen stabilen und zukunftsfähigen neuen Rechtsrahmen. Zentrale Voraussetzung dafür sind effektive rechtsstaatliche Regelungen auf beiden Seiten des Atlantiks. Dies macht deutlich, dass es dringend auch neuer rechtlicher Vorgaben und internationa- ler Vereinbarungen zum Schutz unserer digitaler Infrastrukturen und privater Kommunikation auf nationaler Ebene bedarf.

Safe Harbor erlaubt es keinesfalls, in die von Beginn an verlogene Geste des Fingerzeigens der Bundesregierung auf die USA zurückzufallen. Die bisherige Aufklärung im 1. Parlamentarischen Untersuchungsausschuss der 18. Wahlperiode („NSA-Ausschuss“) hat verdeutlicht, dass die europäischen Mitgliedstaaten, allen voran die Bundesrepublik, zutiefst verstrickt in ein komplexes und rechtsstaatswidrig, weil völlig unkontrolliert gewachsenes Netz aus geheimdienstlichen Kooperationen und Datenaustauschabkommen sind.

Missbrauch

Die selbstverständlich notwendige Zusammenarbeit der Geheimdienste zur effektiven Bekämpfung großer und grenzüberschreitend relevanter Gefahren, wie etwa den Terrorismus, wurde in einem Maße digitalisiert und automatisiert, der zum Missbrauch geradezu einlädt. Man kann den Skandal um die Ausspionierung europäischer und deutscher Behörden und zahlreicher Unternehmen durch US-Suchbegriffe auf BND-Rechnern insoweit beispielhaft anführen. Sollte der BND Gleiches gegen seine europäischen Partner und zahlreiche Unternehmen aus EU-Staaten in Gang gesetzt und jahrelang praktiziert haben, wäre dies ein weiterer Beleg für das Ausmaß auch bundesdeutscher Verantwortlichkeit. Diese geheimdienstlichen Praktiken beschädigen das Vertrauen nicht nur der Bürgerinnen und Bürger in die freie und unbeobachtete Kommunikation. Sie beschädigen auch das Vertrauen der Wirtschaft in die Sicherheit der für ihr Geschäft notwendigen, grundlegenden Infrastrukturen. Einer solchen Vertrauenserosion müssen sich alle Betroffenen gemeinsam entgegenstellen.

Es ist deshalb, auch und gerade im Anschluss an das Safe-Harbor-Urteil, weiter von großer Bedeutung, dass der Deutsche Bundestag als bislang einziges mit den Snowden-Enthüllungen in diesem Maße befasstes nationalstaatliches Parlament so viel Aufklärung des Überwachungsskandals ermöglicht, dass die Grundlagen für die Wiederherstellung rechtsstaatlicher Verhältnisse geschaffen sind. Durch Grenzen ziehende Reformen bezüglich der Befugnisse unserer eigenen Geheimdienste und ihrer parlamentarischen Kontrolle könnte Deutschland dazu beitragen, verloren gegangene Glaubwürdigkeit zurückzugewinnen und global ein Zeichen für ein freies und offenes Internet zu setzen.

Dr. Konstantin von Notz ist stellvertretender Fraktionsvorsitzender von Bündnis 90/Die Grünen und netzpolitischer Sprecher seiner Fraktion.