Politik
Kanzlerin Merkel soll sich dafür einsetzen, dass das Safe-Harbor-Abkommen ausgesetzt werde - fordern Datenschützer.
Kanzlerin Merkel soll sich dafür einsetzen, dass das Safe-Harbor-Abkommen ausgesetzt werde - fordern Datenschützer.(Foto: picture alliance / dpa)

Der unsichere Hafen der EU: NSA-Affäre: Brüssel vertuscht Studie

Von Issio Ehrich

Der EU-Kommission ist seit mehr als zehn Jahren bekannt, dass US-Geheimdienste Zugriff auf personenbezogene Daten von EU-Bürgern haben - wegen des sogenannten Safe-Harbor-Abkommens. Brüssel hätte seine Bürger vor dem Späh-Programm Prism schützen können.

Noch ist es nur ein Vorwurf, dass Regierungen in Europa wissentlich US-Geheimdiensten Beihilfe bei ihren Spähaktionen geleistet haben. Als sicher darf nun allerdings gelten: Seit Jahren gibt sich die EU-Kommission wenig Mühe, bekannte Missstände beim Datenschutz zu beheben. Sie vertuscht sie vielmehr. Das legt zumindest ein Bericht des "Spiegel" nahe.

Eine Studie im Auftrag der EU-Kommission zeigte schon 2004, dass es weitreichende Missstände beim sogenannten Safe-Harbor-Abkommen der EU mit den Vereinigten Staaten gibt. Ein Abkommen, das die Standards für den transatlantischen Datenaustausch von Unternehmen wie Google, Microsoft und Facebook regelt. Das Fazit der Studie: Die US-Behörden kontrollieren die Einhaltung der Standards nicht ausreichend.

Die Unternehmen gelobten damals Besserung. Eine zweite Studie allerdings, die nur vier Jahre später erscheinen sollte, machte dem "Spiegel" zufolge deutlich: In Sachen Datenschutz hat sich die Lage in der Zwischenzeit sogar noch verschlechtert. Die Ergebnisse waren angeblich so verheerend, dass die EU das Abkommen hätte kündigen müssen. Die Studie wurde nie veröffentlich.

Mehr als 3000 Unternehmen betroffen

Die Folgen, die sich daraus ergeben, dass die Kommission die Warnungen der Wissenschaftler überhörte, sind angesichts der Spähmanöver der NSA gewaltig. Brüssel hätte vielleicht verhindern können, dass der Geheimdienst mit Hilfe des Programms Prism und der Unterstützung von US-Unternehmen an die personenbezogenen Daten von europäischen Bürgern gelangt.

Vor dem Abschluss des Safe-Harbor-Abkommens galt: International agierende Unternehmen, die in der EU tätig sind, dürfen keine personenbezogenen Daten ihrer Kunden in Nicht-EU-Staaten übermitteln. Ein Schutzmechanismus. Die EU musste schließlich davon ausgehen, dass Unternehmen aus Drittstaaten nicht an Datenschutzstandards auf europäischen Niveau gebunden sind.

Doch Brüssel befürchtete, dass diese rigide Handhabe den Wirtschaftsbeziehungen zum wichtigen Handelspartner USA schaden könnte. Und so trat im Jahr 2000 eine Sonderregelung ein, jenes Safe-Harbor-Abkommen (Sicherer Hafen).

Wenn sich US-Unternehmen verpflichten, sich an die Datenschutzbestimmungen der EU zu halten, dürfen sie sowie ihre Töchterfirmen oder Partner seither personenbezogene Daten erheben und in die USA übermitteln. Solche Unternehmen müssen sich insbesondere an sieben Prinzipien halten. So sind sie unter anderem verpflichtet, die Personen, deren Daten sie weiterleiten, darüber zu informieren, zu welchem Zweck sie dies tun. Und sie müssen sicherstellen, dass Unbefugte keinen Zugang zu den Daten haben.

Bis heute ließen sich mehr als 3000 US-Unternehmen auf die Regeln ein. Darunter sind selbstredend die ganz Großen: Google, Facebook und Microsoft. Das klingt zunächst gut. Doch das Abkommen funktioniert einfach nicht. Das muss der EU-Kommission allerspätestens die kritische Studie aus dem Jahr 2008 vor Augen geführt haben.

US-Unternehmen gezwungen, das Abkommen zu brechen

In dem 192 Seiten starken Papier, das eine belgische Universität zusammen mit norwegischen und amerikanischen Kollegen angefertigt hat, heißt es: Die Zertifizierung und Einhaltung der Datenschutzbestimmungen durch die zuständigen US-Behörde, die Federal Trade Commission (FTC),  sei "völlig unzureichend". Zudem habe es fast nie Sanktionen gegeben, wenn sich ein Unternehmen nicht an die Regeln hielt.

Tatsächlich ist das Problem aber noch viel größer als es diese Auszüge aus der Studie erahnen lassen. Denn faktisch waren die Unternehmen nach amerikanischem Recht gezwungen, mit den Prinzipien des "Sicheren Hafens" zu brechen. Und die US-Behörde hatte überhaupt keine Grundlage, auf der sie auf Einhaltung des Abkommens hätte pochen können.

Es ist seit mindestens zwei Monaten eine Tatsache, dass US-Unternehmen wie Facebook und Microsoft Daten an die NSA geliefert haben. Das belegen die Enthüllung des Programms Prism durch den Computerexperten Edward Snowden. Rechtlich war das in den USA auch klar geregelt. Die Geheimdienste konnten die Unternehmen unter Berufung auf das amerikanische Anti-Terror-Gesetzespaket "Patriot Act" aus dem Jahre 2001 dazu verpflichten. Der "Patriot Act" ermächtigt die Dienste, auf die Server mit personenbezogenen Daten von US-Unternehmen zuzugreifen - selbst, wenn lokale Gesetze dies untersagen.

Schlupfloch statt Schutz

Lange vor den beiden kritischen Studien also, schon als die USA den "Patriot Act" erließen, hätte die EU das Safe-Harbor-Abkommen einschränken müssen. Die Studien von 2004 und 2008 verdeutlichten das nur. Hätte die EU-Kommission es aufgekündigt, die US-Unternehmen oder ihre Töchter und Partner hätten die personenbezogen Daten von Europäern nicht an amerikanische Server übertragen dürfen. Und so wären sie zumindest auf diesem Wege nicht an die US-Geheimdienste gelangt.

Deutsche Datenschützer von Bund und Ländern sind darum schon seit langem alarmiert. Ein namentlich nicht Genannter sagte dem "Handelblatt" noch in der vergangenen Woche: Bis zur Klärung der Vorwürfe gegen die US-Geheimdienste solle die EU-Kommission das Abkommen aussetzen. In einem Brief appellierte der Datenschützer zusammen mit einer Reihe von Kollegen an Bundeskanzlerin Angela Merkel, sich genau dafür einzusetzen. Bis heute drang aber keine Initiative Berlins an die Öffentlichkeit.

Mittlerweile allerdings, mehr als zehn Jahre nach dem umstrittenen Erlass des "Patriot Act", nach zwei kritischen Studien zum Safe-Harbor-Abkommen und nun einer weltweiten Welle des Protestes wegen der Snowden-Enthüllungen, reagiert auch Brüssel. Die zuständige EU-Kommissarin Viviane Reding ist zu dem Schluss gekommen, dass das Abkommen mehr Probleme birgt als es nützt. Es sei mehr ein Schlupfloch als ein Schutz für die europäischen Bürger. Selbst eine einseitige Kündigung schließe sie nun nicht mehr aus.

Daran, dass im Wissen der EU-Kommission mindestens seit Jahren Daten teils ungeschützt in die USA geflossen sind, kann sie jetzt allerdings nichts mehr ändern.

Quelle: n-tv.de

Empfehlungen