Safe Harbor (englisch für „sicherer Hafen) ist der Name einer Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000, aufgrund derer es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.

Das Abkommen wurde am 6.10.2015 nach einer Klage von Max Schrems vom EuGH als ungültig erklärt. Grund dafür ist die massenhafte anlaslose Überwachung der Datenströme in den USA durch die dortigen Behörden, allen voran des NSA.

Kein Safe Harbour – was nun?

Durch das kippen des “Safe Harbour” Agreements zwischen Europa und USA müssen sich die USA und Europa nun auf neue Spielregeln beim Datenaustausch einigen.

Der Chefjurist von Microsoft Brad Smith schreibt in einem Blog Artikel, dass nun endgültig klar ist dass Gesetze die zur Zeit der Erfindung des Personalcomputers geschrieben wurden – nicht für eine Welt gedacht waren in der jeder ein Mobiltelefon besitzt und die Cloud allgegenwärtig ist.

Die Ausganslage für die außer-Kraft-setzung des Safe Harbour Agreements war der von Max Schrems angestrengte Prozess gegen Facebook, bei der der High Cour in Dublin (Irland) entschieden hat, dass man nicht mehr auf den Schutz der Privatsphäre auf in den USA gespeicherten Daten vertrauen kann, nachdem der Spionageskandal durch Edward Snowden in die Öffentlichkeit gebracht wurde. Die allgegenwärtige Sammlung von Daten in den USA stünde im krassen Gegensatz zu den in der Irischen Verfassung garantierten Rechten zum Schutz der Privatsphäre – zudem hätten Europäische Bürger nicht das Recht den Schutz ihrer Privatsphäre vor U.S. Gerichten einzuklagen.

Der Recht auf den Schutz der Privatsphäre ist bekanntlicherweise nicht nur in der Irischen Verfassung implementiert, sondern auch in der Europäischen Grundrechtecharta. Es ist also ein Grundrecht, dass für alle Länder der Europäischen Union gilt.

Nun könnte man eventuell annehmen, dass das in den USA anders ist. Aber auch dort ist das Recht auf Privatsphäre im 4. Zusatzartikel der Verfassung verankert.

Erst voriges Jahr hat der U.S. Supreme Court entschieden, dass Durchsuchungen eines Smartphones genauso wie die Durchsuchung einer Wohnung einen Gerichtsbeschluss voraussetzt. Das Eindringen in ein Smartphone sein mit der physischen Hausdurchsuchung gleichzusetzen, da in der modernen Zeit in einem Handy sozusagen “das ganze Leben” gespeichert sei. Die Durchsuchung eines Mobiltelefons würde einer Behörde mehr Informationen über eine Person beschaffen, als die gründlichste Durchsuchung einer Wohnung.

Diese Entscheidung und die Entscheidung des Irish High Court machen klar, dass der Schutz der Daten auf Mobiltelefonen und in der Cloud extrem wichtig für unsere Gesellschaft und die Zukunft dieser Technologien sind. Die grundlegenden Ideen die für unsere physische Welt erfunden wurden (Eine Hausdurchsuchung setzt eine gerichtliche Anordnung voraus), müssen auch in der digitalen Welt umgesetzt werden.

Dieses Problem könnte einfach gelöst werden. Um den Schutz von persönlichen Daten zu garantieren, müssten die Daten nur in Rechenzentren im eigenen Land gehalten werden. Dann könnte der Nutzer auf die lokalen Gesetze vertrauen und diese auch vor den eigenen Gerichten einklagen. Allerdings würde das auch das Ende der Cloud bedeuten und wir wären wieder in der Steinzeit der Informationstechnologie. Das wollen weder die Technologieunternehmen, noch die Nutzer die sich schon an die Bequemlichkeit der Cloudtechnologie gewöhnt haben.

Microsoft klagt momentan auch die U.S. Regierung bzw. deren Strafverfolgungsbehörden die auf Daten die in der Europäischen Union gespeichert werden zugreifen möchte. Konkret geht es darum, dass aufgrund einer Gesetzesverletzung ermittelt wird – und die U.S. Behörden auf einen Hotmail (jetzt Outlook.com) Account zugreifen möchten, der physisch in einem Rechenzentrum in Irland liegt. Microsoft weigert sich die Daten herauszugeben. Auf Daten die in Irland liegen sei Irisches Recht anzuwenden. Wenn die Behörden Zugriff auf die Daten haben wollen – gibt es Rechtshilfeabkommen – bei dem sich die U.S. Regierung an die irischen Behörden wenden kann. Dann entscheidet in Irischer Richter ob das Ansuchen der U.S. Regierung Gesetzeskonform ist – und falls ja, wird die irische Polizei die Daten Anfordern und den U.S. Behörden übergeben. Dieser Prozess ist in der physischen Welt ganz normal. Die U.S. Polizei kann nicht willkürlich ein Haus in Irland durchsuchen. Das wäre ein Gesetzesbruch.

Brad Smith schlägt vor, dass die Rechte von Bürgern mit den Daten “roamen” sollten. Daher für den Zugriff auf Daten eines Europäischen Bürgers in den USA sollten die Rechte seines Heimatlandes gelten – und ein Europäischer Bürger müsste auch das Recht bekommen den Zugriff auf seine Daten vor einem ordentlichen Gericht zu bekämpfen. Das ist essentiell auch, was das Irische Gericht im Fall Schrems gefordert hat.

Zusätzlich müssten die USA noch ihr Problem mit den FISA Court beheben. Der FISA Court ist ein U.S. Geheimgericht das für Fälle der Geheimdienste zuständig ist. Wenn ein U.S. Geheimdienst (z.B. die NSA) auf Daten zugreifen möchte benötigt es ebenfalls einen Gesetzesbeschluss. Das Gericht das für diese Beschlüsse zuständig ist, ist aber kein öffentliches ordentliches Gericht, sondern ein Gericht das im geheimen tagt, und dessen Beschlüsse nicht publiziert werden. Zudem kann das Gericht verbieten, dass jemand der den Beschluss dieses Gerichtes erhält darüber reden darf. (s.g. „gag order“ – also eine Knebel Verfügung). Aus dem Grunde kann jemand der von so einer gerichtlichen Verfügung betroffen ist – auch nicht dagegen klagen, weil er nie davon erfährt.