Die Liste liest sich wie ein Who’s who des Internet Business: Adobe, Alterian, AOL, Exact Target, Lithium, Merkle, Salesforce und zahlreichen Anbietern von Lösungen zur Marketingautomation, Online Targeting und Profiling werden vom Center for Digital Democracy konkrete Verstöße gegen Safe Harbor vorgeworfen (siehe zum Beispiel heise).
Im Kern lautet der Vorwurf, dass diese Unternehmen personenbezogene Daten von europäischen Bürgern sammeln, auswerten und weitergeben ohne dass diese Bürger hierüber ausreichend informiert würden. Genau diese Informationspflicht sieht aber das Safe-Harbor-Abkommen vor.
Safe Harbor („Sicherer Hafen“) wurde im Jahr 2000 von der Europäischen Kommission erlassen und erlaubt Unternehmen die Übermittlung von Daten von EU-Bürgern in „sichere Staaten“ (deshalb „Safe Harbor“). Als sicher gelten Länder mit zur EU vergleichbaren Datenschutzvorkehrungen. Diese Datenschutzvorkehrungen wurden in der Folge von der EU explizit definiert. Da es vergleichbare Datenschutzregeln in den USA nicht gibt, hat man es US-Unternehmen freigestellt sich „freiwillig“ diesen Regeln zu unterwerfen. Dann gelten sie selbst als „sichere Häfen“. Seitdem können US-Unternehmen sich auf diese Kriterien verpflichten und in der Folge Daten von EU-Bürgern erfassen und nutzen. Mehr als 1.000 Unternehmen sind diesem Abkommen in der Vergangenheit beigetreten.
In der Wolke gibt es kein „Safe Harbor“
Nicht erst seit den Vorfällen um die NSA-Behörde ist das Safe-Harbor-Abkommen ins Gerede gekommen. US-Behörden haben amerikanische Unternehmen verpflichtet, beliebige Daten auf Cloud-Rechnern, die amerikanischen Firmen gehören, an die US-Behörden ohne weitere Prüfung auf Verlangen weiterzugeben. Dies hebelt Safe Harbor weitgehend aus.
Trotzdem hat die Beschwerde des Center for Digital Democracy erhebliche Sprengkraft: die in dem sehr ausführlichen Dokument behaupteten Vertragsverletzungen sind erheblich. So erfasst AOL Nutzerspuren, andere Unternehmen verknüpfen individuelle Daten zu komplexen Personenprofilen oder kommunizieren ihre Daten an andere Web-Unternehmen – all das geschieht ohne ausführliche Information der betroffenen User. Vor allem aber: die Federal Trade Commission FTC habe als Aufsichtsunternehmen versagt, behaupten die Verfasser der Studie.
Das „Schiffe versenken“ im sicheren Hafen hat begonnen
Neu ist das alles ja nicht. Das EU-Parlament hat schon Anfang diesen Jahres die EU-Kommission aufgefordert das Safe-Harbor-Abkommen zu kündigen. Neu wäre es allerdings, wenn es auf Grundlage der Studie vom Center for Digital Democracy EU-Bürgern gelingen würde Klage gegen die betroffenen Unternehmen einzureichen und zwar nicht, weil sie gegen Safe Harbor verstoßen, sondern weil Safe Harbor mangels Durchsetzbarkeit gar nicht mehr gültig sei. Tatsächlich gibt es bereits einige Verfahren in der Sache:
Der irische „High Court wandte sich an den EuGH, weil er meint, dass der irische Datenschutzbeauftragte durch den Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sein könnte, der wegen der Safe-Harbor-Zertifizierung von Facebook annahm, dass dort ein für die Datenübermittlung hinreichender Datenschutzstandard besteht. Die Frage des Gerichts an den EuGH geht dahin, ob eine Datenschutzaufsichtsbehörde bei ihrer datenschutzrechtlichen Beurteilung der Übermittlung in ein drittes Land, hier die USA, an die Regelungen der europäischen Datenschutzrichtlinie aus dem Jahr 1995 und den Beschluss der EU-Kommission zu Safe Harbor aus dem Jahr 2000 im Hinblick auf die 2009 in Kraft getretene Europäische Grundrechte-Charta gebunden ist, die in den Art. 7 und 8 die Privatsphäre und den Datenschutz gewährleistet. Weiter stellt das Gericht die Frage, wenn Safe Harbor nicht verbindlich ist, ob eine Datenschutzaufsichtsbehörde Ermittlungen angesichts der faktischen Entwicklungen seit der Kommissionsentscheidung im Jahr 2000 durchführen kann“ (Quelle). Diese Klage zielt also darauf ab, dass Gerichte entscheiden mögen, dass Safe Harbor derzeit nicht durchgesetzt wird und deshalb nicht gültig ist.
Nochmal im Klartext: Es geht nicht darum, ob die genannten Unternehmen gegen den Geist des Safe-Harbor-Abkommen verstoßen. Es geht darum, ob der massenhafte Verstoß gegen das Abkommen Safe Harbor selbst außer Kraft gesetzt hat und nationale Datenschützer erfolgreich gegen diese Unternehmen juristisch zu Felde ziehen können. Wenn dem so ist, dann würden die Schiffe nicht nur von AOL und Adobe in schwere Wasser geraten.
