Der „Sichere Hafen“ ist nicht mehr sicher – das Safe Harbor Abkommen wurde für ungültig erklärt

Veröffentlicht von

1

Safe Harbor ist ungültig

Daten können unter bestimmten Datenschutzbestimmungen in die USA transferiert werden

Das Safe Harbor Abkommen ist eine Vereinbarung zum Datenschutz, welches im Jahr 2000 zwischen der Europäischen Kommission und den USA ausgehandelt wurde. Demnach dürfen personenbezogene Daten unter bestimmten Umständen von europäischen Servern in die USA transferiert werden. Dabei müssen gewisse Datenschutzrichtlinien beachtet werden, sodass die Daten auch in den USA nach europäischem Recht als sicher gelten. US-Unternehmen können sich verpflichten diese sogenannten „Safe Harbor Principles“ zu befolgen. Die Richtlinien boten laut der Europäischen Kommission bisher ausreichend Schutz für personenbezogene Daten. Somit durften Daten an Unternehmen in den USA gesendet werden, solange diese Teil des Safe Harbor waren.

Mangelnder Datenschutz in den USA

Seit dem Zustandekommen des Abkommens hat sich in den USA allerdings einiges getan. Nach den Anschlägen des 11. September 2001 wurde dort der sogenannte Patriot Act verabschiedet. Dieser beschneidet den Datenschutz von US-Bürgern immens und ermöglicht ein relativ breitflächiges Datensammeln seitens der Geheimdienste. Auf deren Anfrage hin sind Unternehmen dazu verpflichtet, auch personenbezogene Daten ihrer User offenzulegen. Tatsächlich kommt dies relativ häufig vor: im ersten Halbjahr 2013 wurden beispielsweise von der NSA Daten aus knapp 60.000 Nutzerkonten abgefragt. Diese Praxis veranlasste den E-Mail-Anbieter Lavabit im August 2013 alle Daten auf seinen Servern zu löschen und den Betrieb einzustellen. Der Dienst war als sicherer E-Mail Provider bekannt geworden, da er auch von Whistleblower Edward Snowden genutzt worden war. Die Betreiber zogen es vor Lavabit aufzugeben, anstatt Daten ihrer User freizugeben. Man sollte im Hinterkopf behalten, dass die beschriebene „offizielle Abfrage“ nur einen Teil der gesammelten Daten ausmacht. Überwachungsprogramme wie das von der NSA eingesetzte PRISM sammeln Daten in grossem Stil, ohne dass die Bevölkerung etwas davon mitbekommt. Nur Dank Snowden wurde die Öffentlichkeit über die Ausmasse der geheimen Überwachung durch die USA informiert.

Eine private Klage bringt den Stein ins Rollen

Auch in Europa hat die Datensammelwut der US-Geheimdienste für viel Kritik gesorgt. Letztlich führte dies zu einer privaten Klage gegen die europäische Facebook-Tochter, Facebook Ireland. Der österreichische Jurist und Datenschützer Max Schrems kritisierte, dass Facebook personenbezogene Daten seiner europäischen User auf Server in den USA transferiert. Dies war laut dem Safe Harbor Abkommen bis dato offiziell eigentlich kein Problem. Die irische Datenschutzbehörde gab vor, ihr seien aufgrund des Abkommens die Hände gebunden. Der Rechtsstreit wurde daraufhin dem Europäischen Gerichtshof vorgelegt.

Europäischer Gerichtshof erklärt Safe Harbor als ungültig

Die Überwachung durch die Geheimdienste in den USA wurde vom Generalanwalt des EuGH als „massiv, nicht zielgerichtet […]“ kritisiert. Dementsprechend sind Nutzerdaten auch bei denjenigen Firmen nicht wirklich sicher, die sich eigentlich an die Richtlinien des Safe Harbor halten. Folglich wurde am 6. Oktober 2015 Safe Harbor vom EuGH für ungültig erklärt.

Folgen des Urteils

Die Folgen dieses Urteils sind noch nicht wirklich abzusehen. Der Entscheid könnte aber noch weite Kreise ziehen. Unternehmen wie Facebook, Google, Amazon müssen nun nach neuen Wegen suchen, ihren Datentransfer zu legalisieren. Eine andere Alternative wäre, dass Daten von europäischen Usern auch auf europäischen Servern verbleiben. Dies wären jedoch Eingriffe, die tief in die Strukturen von Megakonzernen wie Google, Facebook und Co einscheiden würden. Die dritte Alternative ist vermutlich die Wahrscheinlichste: Nutzer werden gebeten neue AGB zu akzeptieren, aus denen die Themen Datenschutz und Safe Harbor einfach wieder gelöscht wurden. Safe Harbor war, provokativ ausgedrückt, eigentlich nur ein Weg diejenigen Nutzer zu beruhigen, die sich tatsächlich noch Sorgen um ihre Privatsphäre und die Sicherheit ihrer Daten machen. Die Fassade ist nun durch das Urteil des EuGH eingestürzt und Firmen können nicht mehr mit Safe Harbor werben. Aber seien wir einmal ehrlich: die Daten sind nicht durch jüngste Änderungen plötzlich unsicher geworden. Tatsächlich waren sie es auch innerhalb des Safe Harbor schon lange, spätestens seit Inkrafttreten des Patriot Act im Oktober 2001. Dieser Fakt wurde nun lediglich offiziell anerkannt und in der breiten Masse bekannt gemacht. Für die europäischen Nutzer ändert sich vorerst nicht viel. Ihre Daten sind genau so (un)sicher wie vorher, nur wurde ihnen das jetzt auch von offizieller Seite bestätigt.

Ein Kommentar zu “Der „Sichere Hafen“ ist nicht mehr sicher – das Safe Harbor Abkommen wurde für ungültig erklärt

  1. Pingback: Freies SSL für alle | k-webs tech blog

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.