Die Europäische Kommission sitzt nicht in Bremen - Safe Harbor und der Düsseldorfer Kreis
Es klingt wie ein Paukenschlag. In zahlreichen Medien wurde berichtet, dass die Datenschutzbeauftragten am vergangenen Mittwoch einen drastischen Beschluss gefasst und angekündigt haben, deutschen Unternehmen den Export von Daten an US-Unternehmen nicht mehr zu erlauben (vgl.: "Datenschützer stoppen neue Datentransfers von Firmen in die USA", heise online v. 24.7.2013).
Ankündigung
Und tatsächlich hatten die Datenschutzbehörden eine Pressemittelung zu PRISM und dem Safe Harbor-Abkommen verfasst, in der davon die Rede ist, dass man "keine neuen Genehmigungen" mehr erteilen wolle:
"Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind."
Nicht nur der Kollege Axel Spieß rieb sich daraufhin (Spieß, "Keine Genehmigungen mehr zum USA-Datenexport nach dem Safe Harbor-Abkommen. Geht das überhaupt?", Beck-Blog v. 25.7.2013) die Augen und fragte sich, warum es auf einmal einer "Genehmigung" bedürfen soll, wenn Daten (beispielsweise) in die Cloud eines amerikanischen Anbieters transferiert werden sollen.
Rechtslage: Keine Genehmigungspflicht
Für eine Genehmigungspflicht gibt es schlechterdings keine Rechtsgrundlage. Vielmehr ist nach wie vor der Safe Harbor-Beschluss der Europäischen Kommission vom 26.7.2000 in Kraft ("Entscheidung der Kommission vom 26.7.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des 'sicheren Hafens' und der diesbezüglichen 'Häufig gestellten Fragen' (FAQ) gewährleisteten Schutzes, 2000/520/EG). Dieser Beschluss basiert auf Art. 25 Abs. 6 DSRL und enthält die verbindliche Feststellung eines angemessenen Schutzniveaus in den USA (zu den Einzelheiten vgl. Piltz, "Abkommen, Vertrag, Beschluss - Was ist Safe Harbor?", delegedata.de v. 28.7.2013 und Schneider, "Die Drohung mit der Aussetzung von Safe Harbor" telemedicus.de v. 26.7.2013).
Solange der Safe Harbor-Beschluss der Europäischen Kommission in Kraft ist, steht völlig außer Frage, dass Datentransfers an amerikanische Unternehmen genehmigungsfrei sind, soweit sich die Unternehmen dem Abkommen unterworfen haben. Dass deutsche Datenschutzbehörden jetzt durch eine Pressemitteilung den gegenteiligen Eindruck erwecken, ist ärgerlich. Die Europäische Kommission sitzt weder in Düsseldorf noch in Bremen.
Sicherheit amerikanischer Datenhäfen?
Dass der PRISM-Skandal Anlass gibt, die kritische Frage zu stellen, wie "sicher" amerikanische "Datenhäfen" eigentlich sind, steht außer Frage. Dies kann jedoch keine Legitimation für deutsche Behörden sein, sich Genehmigungsbefugnisse anzumaßen, für die es keine gesetzliche Grundlage gibt.