De Maart
„Die nationale Datenschutzkommission wurde ihrer Verantwortung damals nicht gerecht“, sagt Anwalt Jean-Jacques Schonckert. Schonckert war von Max Schrems beauftragt worden, eine Klage gegen die nationale Datenschutzbehörde und die Unternehmen Skype sowie Microsoft einzuleiten. Ebenso wie Schrems es in Irland mit der dortigen Datenschutzbehörde und Facebook getan hatte.
Als die Klage aus Irland an den Gerichtshof der Europäischen Union (EuGH) weitergeleitet wurde, zog Schrems seine Klage in Luxemburg zurück. Er hatte sein Ziel erreicht. Das höchste europäische Gericht hatte sich seiner Sache angenommen. Das Ergebnis ist seit Dienstag bekannt. Der EuGH entschied, dass Nutzerdaten auf Servern in den USA nicht ausreichend sicher sind (Link).
Die CNPD argumentierte seinerzeit, so Schonckert, bloße Zeitungsartikel in der internationalen Presse nach den Snowden-Enthüllungen über die NSA-Spähaffäre seien kein ausreichender Anlass für die Datenschützer, die personenbezogenen Daten ihrer Bürger in den USA nicht ausreichend geschützt zu sehen.
Ins Reich der Fabeln verwiesen
Anwalt Schonckert findet, die CNPD habe in diesem Fall ihre Aufgabe nicht erfüllt beziehungsweise ihre Pflichten falsch ausgelegt. Statt ihrer Pflicht nachzukommen und die Bürger zu schützen, hätte auch die CNPD die Argumentation der betroffenen Unternehmen übernommen. Diese behaupten, über das Safe-Harbor-Abkommen (was sicherer Hafen bedeutet) seien die Daten in den USA ausreichend vor Zugriff geschützt. Eine Lesart, die der EuGH jetzt ins Reich der Fabeln verwies.
Georges Wantz, ständiges Mitglied der Datenschutzkommission in Luxemburg, sieht dies etwas anders. „Das Urteil besagt, dass die Datenschutzkommissionen gar keine Möglichkeit hatten, Safe Harbor in Frage zu stellen“, findet Wantz. Eben dies sei eines von mehreren Argumenten der europäischen Richter für ihr Urteil gewesen.
Viel Arbeit für Datenschützer
Auf die Nationale Kommission für den Datenschutz kommt jetzt auf jeden Fall eine Menge Arbeit zu. So träfen bereits jetzt viele Anfragen von Firmen bei der CNPD ein, welche Möglichkeiten es noch gibt, Daten ihrer Kunden ins Ausland zu schicken.
Die Datenschutzkommissionen der einzelnen EU-Staaten müssen sich nun zusammensetzen. „Wir müssen uns koordinieren und schauen, wie wir jetzt vorgehen sollen“, erklärt Wantz. Das erste Treffen wird bereits Ende dieser Woche stattfinden, ein weiteres anfangs kommender Woche.
Für die CNPD hat das Urteil laut Wantz auch jetzt schon konkrete Folgen. Sollte es zu einem neuen Abkommen kommen, das Safe Harbor ersetzt, hat die CNPD das Recht und die Pflicht, dieses Abkommen zu analysieren. Was bislang nicht der Fall gewesen sei.
Daten sind geschützt
Auch wenn Safe Harbor ab jetzt nicht mehr als sicher gilt, können weiterhin Daten in die USA übertragen werden. Das sagt Georges Wantz und das teilte am Dienstag auch das Justizministerium mit. Dies geschieht dann über Verträge, die sogenannte Standard Protection Clauses enthalten oder, falls es sich um Unternehmen und ihre Muttergesellschaft handelt, über Binding Corporate Rules. Diese Regeln würden europäisches Datenschutzrecht auch im Ausland garantieren, sagt Wantz.
Wie dem auch sei, auch Anwalt Jean-Jacques Schonckert sieht nun viel Arbeit auf die CNPD zukommen. Die CNPD müsse jetzt alle betroffenen Unternehmen auffordern, die Daten europäischer Bürger angemessen zu schützen. Was die Datenschützer davor eben nicht getan hätten. „Jetzt müssen sie richtig arbeiten“, ist Schonckert überzeugt.
Lesen Sie auch:
Sie müssen angemeldet sein um kommentieren zu können