Europas Datenschutz steht auch einen Monat nach dem aufsehenerregenden Urteil des Europäischen Gerichtshofes (EuGH) in Luxemburg auf wackeligen Füßen. „Der freie Datenverkehr wird nicht unterbrochen werden“, gab sich der für den digitalen Binnenmarkt zuständige Vizepräsident der Brüsseler Kommission, Andrus Ansip, zwar am Freitag optimistisch. Doch die angebotenen Übergangslösungen der EU-Behörde stecken voller rechtlicher Unzulänglichkeiten und Widersprüche – vor allem für die Unternehmen ein großes Risiko.

So empfahl Brüssel den Betrieben am Freitag, verbindliche unternehmensinterne Vorschriften für den Datenaustausch mit Niederlassungen in aller Welt zu erlassen. Diese „bedürfen jeweils der Zustimmung der Datenschutzbehörde des Mitgliedstaates, aus dem das multinationale Unternehmen Daten übermitteln möchte“, heißt es in einem Papier der EU-Behörde. Streit erscheint da unausweichlich.

Denn die in Deutschland maßgebliche Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat bei ihrer Sitzung Ende Oktober beschlossen, diese sogenannten Binding Corporate Rules „bis auf Weiteres nicht zu genehmigen“. Zwangsmaßnahmen will man allerdings auch nicht verhängen.

EuGH-Urteil reißt Lücke

Für große Konzerne wie Telekom, Vodafone oder Microsoft sind derartige interne Datenschutz-Regeln nahezu unverzichtbar. Als der deutsche Telefonriese im April 2014 seine eigenen Richtlinien verabschiedete, versprach man stolz, „den Kunden und Mitarbeitern von Südafrika bis Brasilien, von China bis in die USA weltweit das gleiche hohe Datenschutzniveau zu bieten“. Solche Regeln gelten natürlich fort, neue ehrgeizige Standards müssten aber derzeit auf eine Genehmigung durch die DSK warten, obwohl die EU-Kommission sie ausdrücklich als Hilfsinstrument für eine Übergangszeit akzeptiert. Die Lücke, die der EuGH mit seinem Urteil gerissen hat, ist groß.

Bislang konnten sich Unternehmen in die Safe-Harbor-Liste (Sicherer Hafen) des US-Handelsministeriums eintragen und somit versprechen, das europäische Datenschutzniveau zu akzeptieren, auch wenn dies in den Vereinigten Staaten nicht anerkannt wird. Die Luxemburger Richter kritisierten aber nicht die Datenübertragung in die USA generell, sondern die gesetzliche Pflicht für US-Konzerne, gespeicherte Informationen auch dem Geheimdienst NSA zugänglich zu machen.

Hürden für neues Abkommen

Damit wurden die Hürden für ein neues Abkommen zwischen Brüssel und Washington hoch gelegt. Zwar kündigte Ansip gestern an, die EU werde innerhalb der nächsten drei Monate mit den USA „einen neuen und soliden Rahmen für transatlantische Datenübermittlungen“ abschließen. Doch die für Justiz und Verbraucherschutz zuständige Brüsseler Kommissarin Vera Jourova machte schon klar, dass das nicht so einfach sein dürfte: „Es braucht immer zwei für einen Tango“, sagte sie gestern. Tatsächlich sind die Gespräche weit gediehen, es fehlt lediglich die gesetzliche Zusicherung, dass die NSA nicht auf die Daten zugreift. Ob diese überhaupt zu bekommen ist, erscheint fraglich. Aber auch die jetzt von der Kommission ins Spiel gebrachten Ausnahmeregeln helfen niemandem wirklich weiter.

So dürfen Unternehmen etwa die Buchungsdaten für einen Flug oder ein Hotelzimmer in den USA weitergeben, obwohl die Angaben nach europäischen Standards nicht ausreichend geschützt sind. Aber diese Datenschutzlücke wurde durch anderen Abkommen wie dem zur Speicherung von Fluggast-Daten geregelt. Und das bleibt in Kraft. Sogar mit Billigung der EU-Datenschutzgruppe, in der die Aufsichtsbehörden der Mitgliedstaaten vereint sind. Die haben angekündigt, bis zum 31. Januar 2016 keine Maßnahmen zu ergreifen, wenn persönliche Informationen weiter in die USA geschickt werden.