Safe Harbor: Ich verstehe da ein paar Dinge nicht

tl;dr: Alle reden über Safe Harbor, keiner kann sagen, was das nun praktisch bedeutet.

wassindsmartphones

Der Österreicher Max Schrems kämpft gegen Facebook seit Jahren einen David-gegen-Goliath-Kampf, wie ihn die Medien über alles lieben. Sein unerwarteter Erfolg: Das EuGH hat das so genannte „Safe Harbor“-Abkommen gekippt. Das ist ein Abkommen, das es deutschen Unternehmen ermöglicht, Kunden- und Mitarbeiterdaten unkompliziert in den USA zu speichern und verarbeiten zu lassen. Dass das großflächig gefeiert wird, leuchtet ein, schließlich sind die USA ja böse, haben keinen richtigen Datenschutz und überhaupt: NSA!

Spiegel Online sieht darin einen Triumph für Snowden und eine Blamage für Merkel. Warum genau das ein Triumph sein soll, wo doch die NSA über den BND und GCHQ weiter fleißig auch europäische Daten mitlesen kann, wird hingegen nicht klar. Die digitale Gesellschaft sieht darin ein Zeichen gegen anlasslose Massenüberwachung, als gebe es in Deutschland keinerlei Überwachungsgesetze. n-tv findet, das Urteil sei ein Schlag gegen Facebook, dabei kann meiner Meinung nach gerade Facebook relativ gelassen bleiben, wie ich weiter unten noch erläutern werde. Herr Schwenke, dessen Podcast „Rechtsbelehrung“ ich sehr schätze, versucht wie etliche andere Blogs und Zeitungsartikel zu erklären, was das ganze nun eigentlich bedeutet, hinterlässt seine juristisch nicht vorgebildeten Leser jedoch ratlos. Und Social-Media-Blogs feiern das ganze wie den Fußballweltmeistertitel anno 54, dabei könnten gerade für Leute, die mit Social Media ihr Geld verdienen, erstmal wirklich schwierige Zeiten anbrechen.

Ich bin sicherlich kein Datenschutz-Nerd, habe mich jedoch vor gefühlten Ewigkeiten damit befasst, als es um die Liquid-Wars in der Piratenpartei ging. Ich kann also nicht von mir Behaupten, Ahnung zu haben und mir trotzdem einigermaßen sicher sein, dass 99% der Bevölkerung noch weniger Ahnung hat als ich. Deshalb hier nun ein paar Steile Thesen und Fragen. Ich hoffe sehr, dass Leute mit mehr Ahnung in den Kommentaren meine Ausführungen ergänzen oder korrigieren.

Datenschutz, wie wir ihn heute kennen, hat viel mit dem Volkszählungsurteil des Bundesverfassungsgerichtes zu tun, das damals ein „Recht auf Informationelle Selbstbestimmung“ definiert hat. Auch wenn es so wörtlich nicht im Grundgesetz steht, gilt es heute als Quasi-Grundrecht und ist damit in erster Linie ein Abwehrrecht gegen den Staat. Konkret im BDSG gilt es allerdings auch für alle „nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.“

Allein das ist schon eine ziemlich unbefriedigende Situation: Unternehmen (und andere „datenverarbeitende Stellen“) sind an das Datenschutzgesetz gebunden. Behörden zwar auch, allerdings gibt es gerade für sie in der Praxis zahllose Ausnahmen: Funkzellenabfrage, die geplante Vorratsdatenspeicherung, der Datenstriptease, den jeder Alg2-Empfänger durchmachen muss, Überwachungskameras im öffentlichen Raum, das Konfiszieren und Durchsuchen von Mobiltelefonen durch die Polizei auf Demonstrationen, das geplante Gesetz zur Datenhehlerei, das es vermutlich ermöglichen wird, künftig auf eine reine Beschuldigung hin Daten von Journalisten zu beschlagnahmen und zu sichten, die Erhebung biometrischer Daten, u.a. für den Personalausweis,die Abschaffung des Bankgeheimnisses usw. usw. usw. Hier wird klar: Datenschutz mag uns vielleicht vor Unternehmen schützen, keinesfalls jedoch vor dem Staat. Die Abschaffung des Safe-Harbor-Abkommens könnte dazu führen, dass in Europa tätige Unternehmen Daten über uns künftig in Europa speichern und verarbeiten müssen, wo Behörden es wesentlich leichter haben, darauf zuzugreifen. Der Verfassungsschutz ist uns nunmal näher als die NSA, wie Michael Seemann völlig zurecht anmerkt.

Das ist aber nur die ganz große Linie. Kommen wir zu den praktischen Auswirkungen. Sämtliche Datenverarbeitung personenbezogener Daten in den USA ist nun quasi illegal, es sei denn, das Unternehmen kann nachweisen, dass diese unter Einhaltung deutschen bzw. europäischen Datenschutzrechtes geschieht. Einschlägige Artikel enthalten Sätze wie „Wer Geschäftspartner in den USA hat, sollte…“. Das klingt jetzt, als betreffe das nur irgendwelche großen Unternehmen, die halt drauf klarkommen müssen, während die Bürger sich freuen dürfen, dass ihre Daten das Land nicht mehr verlassen. Das Problem ist nur, dass davon zahllose Dienste betroffen sind:

Facebook

Mir ist nicht so ganz klar, warum Facebook sich überhaupt europäischem Datenschutzrecht unterwerfen muss. Sie könnten sich auch offiziell aus dem europäischen Markt zurückziehen. So lange auf Facebook zugreifen kann, wer will, bleibt der Dienst schließlich benutzbar und solange wir kein Pendant zur „Great Firewall of China“ haben, kann kein EU-Einwohner davon abgehalten werden, Facebook trotzdem zu benutzen. Facebook hätte es alledings schwerer, in der EU Werbung zu verkaufen. Ich bin mir sicher, dass dies durch Agenturen lösbar wäre. Probleme bekommen die ganzen Online-Medien und Blogger, die gerade Like-Buttons und ähnliche Plug-Ins in ihre Webseiten eingebunden haben. Die stellen eine Auftragsdatenverarbeitung dar, die ab sofort legal nicht mehr durchgeführt werden kann. Theoretisch müsste ab heute jede Webseite, die solche Plugins enthält, abgemahnt werden können.

Amazon

Amazon verkauft nicht nur Bücher und Zeugs sondern sammelt auch viele Daten über seine Kunden. Ich glaube, dass sie viel schwerer davon betroffen sind. Jedenfalls müssen sie jetzt streng darauf achten, Daten über ihre Kunden nur noch in der EU und nach entsprechend strengen Regeln zu bearbeiten. Wie die Empfehlungsalgorithmen mit der im BDSG festgelegten Datensparsamkeit vereinbar sind, ist mir schleierhaft. Mich würde interessieren, ob Amazon konsequent gedacht nicht mehr in der EU Ware ausliefern darf (bzw. Bestellungen dort den Status von Importen bekämen) oder ob es bei reinen Abmahnungen bliebe. Was auch immer die Folgen wären: Zalando & Co. wird’s freuen.

Google

Die Verwendung von Google-Diensten wie Google Doc, Tabellen usw. ist ab sofort nicht mehr möglich, jedenfalls nicht, wenn darin beispielsweise Kundendaten enthalten sind, was schon der Fall ist, wenn auch nur ein Mailwechsel über Gmail stattfindet. Unternehmen, die gerne kollaborativ arbeiten möchten, müssen nach Alternativen suchen – die fast alle ebenfalls aus den USA stammen, allen voran Microsoft Office 360. Damit ist es aber noch nicht getan. Das Web ist zugekleistert mit Adsense und Google Analytics, die nun schlagartig illegal sein dürften, da die Standardverträge zur Auftragsdatenverarbeitung, die ihnen zugrunde liegen, ohne Safe Harbor obsolet sind. Die Google, sorry, Alphabet-Tochter Doubleclick ist das größte Werbenetzwerk der Welt. Können sich die deutschen Online-Medien wirklich erlauben, ohne die Einnahmen aus diesem Netzwerk auszukommen? Aber nicht nur Unternehmen speichern und verarbeiten Daten in den USA. Das tun alle, die beispielsweise ein Android-Telefon verwenden und ihre Kontakte darin speichern. Abgeschaltet werden kann das nicht, nur nach längerer Konfigurationsorgie oder indem alternative Betriebssysteme wie Cyanogenmod installiert werden, wobei häufig die Garantie verloren geht. Müsste man nicht also konsequenterweise jetzt davon ausgehen, dass der Vertrieb von Android-Geräten in der EU aus diesen Gründen als illegal zu betrachten ist? Hinzu kommen die vielen Apps aus Google Play. Zwar kann niemandem privat verboten werden, Apps wie WhatsApp zu benutzen. Da aber eine datenschutzkonforme Nutzung nicht möglich ist, frage ich mich, inwiefern es zukünftig noch legal sein kann, solche Apps in Deutschland über einen App Store anzubieten.

Microsoft

Hier gilt vieles schon, was ich zu Google sagte. Mit dem Erscheinen von Windows 10 wurde Microsoft hart dafür kritisiert, sehr viele Daten von den Rechnern der User zu erheben – bis hin zu einem Keylogger. Können Unternehmen noch von ihren Mitarbeitern verlangen, mit Windows-Rechnern zu arbeiten? Können Windows-Rechner künftig noch legal vertrieben werden?

Apple

Apple geriert sich selbst in letzter Zeit gerne als sensibel für den Datenschutz. Das ist natürlich Augenwischwerei. Auch bei der Nutzung von Apple-Geräten von iPhone über Mac Books bis zum iTV entstehen Daten, die in den USA gespeichert und verarbeitet werden. Insbesondere hat Apple mit iAd eine eigene Werbeplattform, die sich auf die Apps im eigenen App Store bezieht und garantiert nicht ohne die Erhebung von Nutzerdaten zur Adressierung auskommt. Interessant wäre auch die Frage nach Zahlungsdaten, die bei der Nutzung von Apple Pay entstehen. Was natürlich genauso für Google Pay gilt und für:

Kreditkartenunternehmen und Zahlungsdienstleister

Sie sind alle international aufgestellt und verarbeiten Daten über Ländergrenzen hinweg. An ihnen hängen zahllose Händler, Hersteller und Anbieter. Ist ohne Safe-Harbor-Abkommen eigentlich noch legal, die Bezahlung über Paypal in seinem Online-Shop anzubieten? Und was ist mit Bitcoin, das von seiner ganzen Grundstruktur sowieso quer zu allen nationalen Gesetzen liegt und die jetzt schon nicht mehr regelbare Auftragsdatenverarbeitung per Blockchain an alle Teilnehmer weltweit delegiert?

Und jetzt?

Ich habe in der Aufzählung sicherlich noch etliche Dienste und Anwendungsfälle vergessen. Wie ich eingangs schon sagte, durchschaue ich auch nicht wirklich, wie weit das Datenschutzrecht eigentlich greift und welche von mir genannten Gedanken Quatsch sind. Für sachdienliche Hinweise in den Kommentaren bin ich sehr dankbar. Selbst wenn etliche der Punkte, die ich nenne, gar nicht von Safe Harbor berührt werden, zeigt diese Aufstellung deutlich, wie wenig machbar klassischer Datenschutz überhaupt noch ist. Ihn konsequent durchführen zu wollen, hieße dem Internet den Stecker ziehen. Das finde nicht nur ich absurd. Was wir brauchen, ist kein strengerer Datenschutz sondern Schutz vor Diskriminierung (nach Datenmissbrauch) durch Unternehmen und Behörden. Aber Safe Harbor ist weg. Was passiert jetzt? Was ich im Netz so lese, kristallisieren sich Szenarien heraus, die auch parallel eintreten könnten.

1. Safe Harbor 2.0

Alle beteiligten merken, dass ihr Versuch, einen harten Datenschutz zu etablieren, ungefähr der gesamten Nutzung des Netzes in ganz Europa den Stuhl unterm Hintern wegzieht und wahrscheinlich auch sehr negative Auswirkungen auf die (Online-)Wirtschaft haben wird. EU und USA bauen sich deshalb ein Safe Harbor 2.0. Eventuell steigt das Datenschutz-Niveau. Das wird Jahre dauern. Bis dahin leben Wirtschaft und Bürger mit erheblicher Rechtsunsicherheit. Neue Abmahnwellen werden Schäden hinterlassen und Existenzen vernichten.

2. Binding Corporate Rules

Das ist ein Rahmen von Richtlinien beim Umgang mit personenbezogenen Daten, innerhalb dessen Unternehmen arbeiten können. Die Anwendung solcher BCR gerade in den großen Unternehmen könnte ein Ersatz für das weggebrochene Safe-Harbor-Abkommen sein. Allerdings sind Fachleute der Meinung, dass die Anwendung solcher BCR ähnlich wie das Safe-Harbor-Abkommen auch bald vom EuGH gekippt werden könnte. (Link trage ich  nach, sobald ich wiedergefunden habe, wo ich das las.)

3. Datenverarbeitung findet in Europa statt

Daten werden künftig nur noch in der EU gespeichert und verarbeitet. Das können sich natürlich nur große Unternehmen leisten, kleinen wird der Markteintritt in die EU erschwert. Für europäische Unternehmen wird das Leben etwas leichter, da sie nicht mehr strengeren Gesetzen unterworfen sind als die anderen. Datenschutz wird großflächig für Unternehmen gelten, die Staaten und ihre Behörden schaffen sich weiterhin nach Gusto ihre Ausnahmen, wo sie es brauchen.

4. Zustimmung per Klick

Die einfachste und wahrscheinlichste Lösung. Datenschutz in Deutschland funktioniert nach dem Prinzip: „Alles ist verboten, was nicht explizit erlaubt wurde.“ Demzufolge können sich Unternehmen auch die Genehmigung für ungefähr alles per Vertrag von ihnen Kunden genehmigen lassen. Wer nicht unterschreibt oder nicht das entsprechende Häkchen unter eine Datenschutzbelehrung klicken mag, muss halt auf Facebook verzichten oder damit leben, dass das frisch gekaufte iPhone nur noch ein hübscher Briefbeschwerer ist. Im gedankenlosen Wegklicken nicht gelesener Nutzungsbedingungen haben wir ja schon langjährig Routine. Ändern wird sich: Genau nichts.