24

PRISM & Tempora: Die deutschen Datenschützer wehren sich

Während im Fall von PRISM & Tempora die deutsche Bundesregierung derzeit nichts anderes als herumeiert, kommt die einzige reale Aktion von den ansonsten gern als relativ machtlos angesehenen Datenschützern, welche gemäß eines gemeinsamen Beschlusses keine Genehmigungen für Unternehmen zur Übermittlung personenbezogener Daten ins Ausland mehr erteilen werden und zudem prüfen wollen, ob bereits bestehende Genehmigungen ausgesetzt werden können. Dies bedeutet konkret erst einmal, daß neue Dienste, welche ihre in Deutschland erhobenen Daten außerhalb von Deutschlands transferieren wollen, keine datenschutzrechtliche Genehmigung hierfür erlangen können und damit ihre Dienste faktisch nicht innerhalb von Deutschland anbieten können.

Sollten zudem die schon bestehenden Genehmigungen – und wenn auch allein nur für US-Unternehmen – ausgesetzt werden, würde dies einem faktischen Verbot der aktuellen Geschäftspraxis von Google, Facebook & Co. gleichkommen. Dabei ist die Ignorierung dieser Verbot nicht auf die leichte Schulter zu nehmen: Die Datenschutzbeauftragten der Bundesländer können hier ganz schnell Geldstrafen verhängen, notfalls auch tagesweise neu bis zur Behebung der Mangels. Sollten die betroffenen Unternehmen auch dies dann noch ignorieren, drohen härtere Maßnahmen wie die zwangsweise Schließung deutscher Niederlassungen inklusive Kontopfändungen – ganz so zahnlos ist das Datenschutzrecht also doch nicht.

Eine besondere Note bekommt dieser Beschluß im übrigen durch den Punkt, daß sich die USA hierbei über ihre Geheimpolitik selber geschlagen haben: So müssen Unternehmen, welche eine datenschutzrechtliche Genehmigung zum Datentransfer ins Ausland beantragen, sich nicht nur dem entsprechenden Regularium unterwerfen, sondern zudem auch bestätigen, daß sie keine Kenntnis über nationale Regelungen haben, welche diesem Datenschutz-Regularium "in gravierender Weise" widerspricht. Da alle beteiligten US-Firmen sehr wohl über den Punkt der generellen Späherlaubnis auf jegliche Daten von nicht-US-Bürgern in Kenntnis waren, haben somit alle beteiligten US-Firmen mit NSA-Kontakten (wer ist dies nicht?) schon ihre bestehende Datentransfer-Genehmigung glatt widerrechtlich erlangt.

Bezeichnend ist dabei, daß ausgerechnet die (von der Politik) gern verspotteten Datenschützer hiermit einen Weg gefunden haben, mit dem Problem umzugehen und vor allem einen realen Handlungsdruck zu erzeugen: Gespräche mit der US-Regierung werden wohl kaum etwas bewirken – geht es dagegen an die Pfründe der beteiligten Unternehmen, werden jene in Eigenregie bei der US-Regierung vorstellig werden und ihren durchaus beträchliche Lobbymacht entfalten. Noch ist es natürlich noch lange nicht so weit, daß die Tätigkeit von US-Unternehmen in Deutschland aus Datenschutzsicht illegal wird – aber die angekündigte Prüfung der bestehenden Genehmigungen ist ein Wink mit dem Zaunpfahl an die deutsche Politik wie auch an die US-Unternehmen, daß das Problem nicht länger aussitzbar ist, sondern daß in absehbarer Zeit eine ehrliche Neuordnung der Verhältnisse passieren muß.

Nachtrag vom 28. Juli 2013

Telemedicus bringen deutliche Einwände gegenüber dieser Meldung, die deutschen Datenschützer könnten durch das Verbot von Datentransfers ins Ausland etwas gegen PRISM & Tempora tun. Der Streitpunkt hierbei ist, ob die nationalen Datenschützer überhaupt ein Abkommen aussetzen können, welches zwischen den EU und den USA ausgehandelt wurde – und in dessen Folge die Unternehmen eigentlich gar keine extra Datenschutz-Genehmigungen mehr benötigen, wenn sie ein gewisses Datenschutz-Niveau vorweisen können. Telemedicus belegen ihren Standpunkt mittels der entsprechenden Abkommenstexte, welche durchaus darauf hindeuten, daß man in diesem Punkt Recht hat: Wenn, dann haben nationale Datenschutze-Behörden nur die Möglichkeit, in Einzelfällen und bei einem "bevorstehenden Risiko eines schweren Schadens" das Abkommen für einzelne Unternehmen auszusetzen.

Eine Möglichkeit zur kompletten Aussetzung durch nationale Datenschützer ist im Abkommens-Text bewußt nicht geschaffen worden und ist aus dem bestehendem Text auch schwer abzuleiten. Damit steht es arg auf der Kippe, ob die bundesdeutschen Datenschützer das sogenannte Safe-Harbor-Abkommen mit den USA richtiggehend aufkündigen können – vor allem die angesprochenen extra Genehmigungen für einen Datentransfer in die USA stehen komplett in der Luft, da jene laut diesem Abkommen schließlich nicht mehr notwendig sind. Möglicherweise ist in diesem Punkt aber auch nur gemeint gewesen, daß keine (bestandenen) Datenschutz-Zerifizierungen mehr ausgestellt werden können, sofern ein Unternehmen ein Teil seiner Daten im Rahmen dieses Abkommens verarbeitet.

Und an dieser Stelle existiert dann eben doch noch ein Druckmittel der bundesdeutschen Datenschützer: Ganz egal von bestehenden Abkommen können trotzdem jegliche Datenschutz-Zertifizierungen für Unternehmen mit US-Verbindungen verweigert werden, da die neue Informationslage alle gedruckten Abkommen und Gesetze als Makulatur erscheinen läßt. So kann sicherlich der Punkt bestehen bleiben, daß man einem Microsoft, Google, Facebook & Co. nicht mit ruhigem Gewissen ein Datenschutz-Siegel geben kann, wenn klar ist, daß diese Unternehmen in ihrem Heimatland per Geheimanordnung zu jeglicher datenschutzrechtlicher Schandtat gezwungen werden können. Das Aussetzen eines EU/USA-Abkommens steht damit natürlich nicht in der Macht der bundesdeutschen Datenschützer – aber wenigstens hat die Politik den deutlichen Wink bekommen, daß die Datenschützer in ihrer fachlichen Meinung jenes Abkommen als "faktisch erledigt" ansehen.