Ding Dong, Safe Harbor ist tot!

Hallo. Ich finde die aktuelle Freude über den Sturz von Safe Harbor ziemlich … erstaunlich.

Kurz: was ist Safe Harbor? Safe Harbor ist ein Abkommen zwischen der EU und den USA betreffend der Übermittlung von Daten. Es wird angenommen (zumindest erklärt), dass die unter dem Label Safe Harbor zertifizierten US-Unternehmen dem europäischen Datenschutzrechtstandard genügen. Tjo.

Zu kompliziert? Ok, anders: Safe Harbor ist Grunde nichts anderes ist, als eine riesige Datenschutzerklärung, die 2000 die EU-Kommission stellvertretend für uns alle einmal geklickt hat. Ja, auch für dich. Was da drin steht? Woher soll ich denn das wissen! Wer liest denn schon Datenschutzerklärungen?

Jedenfalls hat Max Schrems es jetzt geschafft und das Ding ist gekippt. Und nun? Derzeit agieren wir in unzureichend definiertem Rechtsrahmen, wann immer wir einen Tweet absetzen oder was auf Facebook posten. Das wird erstmal so bleiben, denn bis eine Neuverhandlung wirksam wird, kann es noch lange dauern.

Vermutlich wird es aber erstmal irgendwelche provisorischen Lösungen geben. Vielleicht wird die Provisorische auch die Langfristige Lösung. Hier sind ein paar der Strategien aufgelistet. Eine Möglichkeit aber sticht heraus. Die der individuellen Einwilligung.

Obwohl Juristen/innen jetzt wieder hin und her-analysieren lässt sich festhalten; das europäische Datenschutzrecht ist in seinen Grundzügen recht banal. Es geht so: alles ist verboten. Es sei denn, du hast zugestimmt. „Informed Consent“ nennt sich das in der Theorie. Und in der Praxis ist es der „ich stimme zu“-Button, den du immer wegklickst. „Ja doch! Nerv nicht!“ Wir kennen das schon aus der Cookierichtlinie. Genau, das wo du im Mobile Safari immer das winzige [ok] treffen musst, um das extra Banner wegzuklicken, damit du den verdammten Artikel lesen kannst.

Das ist meine Prognose: so wird es auch hier kommen. Datenschutz ist, wenn man immer mal wieder was neues wegklicken kann. „Informed Consent“ kann man aus Unternehmenssicht gut übersetzen mit „cover you ass“. So funktioniert Datenschutz: Du klickst extra, Unternehmen bekommen ihren Ass gecovert. Das war bisher automatisiert per Safe Harbor der Fall, das ist jetzt weg. In Zukunft heißt es wieder selber klicken. Danke Max Schrems!

Ich kann deswegen auch nicht verstehen, warum die Journalisten auf das Urteil gerade so abfahren. Als wichtigen Schlag gegen die Geheimdienstüberwachung wird es bezeichnet. Srsly? Wie sollte dieser Schlag denn aussehen? Wird die NSA jetzt aufhören mit PRISM Daten von Nicht-US-Bürgern aus Facebook rauszuziehen? Wohl kaum. PRISM wurde letztes Jahr von einer extra eingesetzten Untersuchungskommission für legal befunden. Was soll sich also ändern?

Facebook (und all die anderen Unternehmen) stehen vor der Wahl. Sollen sie dem Recht in ihrem Heimatland USA folgen und gegen EU-Recht verstoßen, oder EU-Recht folgen und US-Recht mißachten. Choose one. So wird es natürlich außerhalb der Phantasie von Max Schrems nicht kommen. Der Extra-Klick wird das lösen, da bin ich mir sicher.

Aber gut. Stellen wir uns jetzt mal kurz den härtesten aller Fälle vor: Die EU macht jetzt einen auf Putin und beharrt darauf, dass alle Unternehmen europäische Daten nur in Europa speichern und auswerten dürfen. DigitalCourage jubelt, Thilo Weichert klopft Jan Phillip Albrecht auf die Schulter. Alles schön und gut. Aber was wäre damit gewonnen?

Haben alle die bisherigen Ergebnisse des NSA-Untersuchungsausschuß schon wieder vergessen? Der BND hängt nicht nur tief in der NSA-Überwachung mit drin, er hat auch seine eigenen Internet-Massenüberwachungskapazitäten und natürlich nutzt er sie auch. Auch der BND kommt an in Deutschland gehostete Daten ran. Deutsches Datenschutzgesetz hin oder her.

Und ist der GCHQ eigentlich schon vergessen? Der englische, noch viel niederträchtigere kleine Bruder der NSA zapft alles an, was in Europa nicht bei drei auf den Bäumen ist!

Aber jetzt mal grundsätzlich: Glaubt ihr wirklich, dass eure Daten in Europa sicherer sind? Wegen unserem Datenschutzgesetzt? „Für Datenschutz klicken sie bitte hier!“ Nein, ich denke, das Gegenteil wäre der Fall. Dafür muss ich kurz etwas ausholen:

Das Grundrecht auf „Informationelle Selbstbestimmung“ wurde nicht geschaffen, weil die Verfassungsrichter 1983 Privatsphäre einfach so knorke fanden. Nein, es dient einem konkreten Zweck, den die Richter auch in ihrer Begründung weitschweifend erläutert haben: Informationelle Selbstbestimmung ist, wie alle Grundrechte, erstmal ein Schutzrecht gegen den Staat. Der Staat hat nun mal scheiße viel Macht. Gewaltmonopol nennt sich das. Das ist, wenn der Staat dein Haus stürmen, dein Vermögen einkassieren, dich zusammenprügeln und in den Knast werfen darf. Ja, das darf er unter bestimmten Bedingungen und er tut das auch bisweilen mit Leuten. Genau deswegen hast du ein Recht auf Informationelle Selbstbestimmung. Um dieses Machtungleichgewicht etwas auszugleichen. Und dieses Anliegen ist nach wie vor eine wichtige und richtige Sache. (Weswegen ich trotz Post-Privacy und alles immer und überall gegen die Vorratsdatenspeicherung bin und war.)

Aber wie kommt ihr jetzt also auf die Schnapsidee, dass eure Daten ausgerechnet im eigenen Land am sichersten sind? Sicher vor wem? Als allerletztes doch vorm Staat!

Was meint ihr, warum Russland ein solches Gesetz zur Bewahrung russischer Daten im eigenen Land gerade eingeführt hat? Weil es Sorge um die Privatsphäre seiner Bürger hat? Wer das glaubt, schaut zu viel RT_Deutsch. Nein, Putin will an die Daten von Oppositionellen und Aktivist/innen ran. Das geht halt viel besser, wenn die Daten in russischer Hoheit liegen.

Ich will die EU nicht mit Russland vergleichen. Aber der gleiche direktere und einfachere Zugriff würde ebenfalls für europäische Behörden gelten, wenn die Daten hier lägen. Ich sehe da freiheitsrechtlich keinen Fortschritt, im Gegenteil. Im Zweifel ist es mir 1000 mal lieber, wenn die NSA meine Daten hat, als der Verfassungsschutz.

Wenn es nach mir ginge, säh ein neues Safe Harbor-Abkommen wie folgt aus: „Macht mit den Daten was ihr wollt, aber bitte gebt sie nicht an meinen Staat weiter. Danke!“

Also, liebe Leute, die ihr euch so freut, dass Safe Harbor weg ist. Befragt mal genauer die Motivation hinter eurer Freude. Grundrechtsverbesserung kann es jedenfalls nicht sein. Vielleicht ist es am Ende ja doch nur wieder schaler Antiamerikanismus? Aber endlich kann man da jetzt was tun. Klicken gegen den Imperialismus!!11


9 Gedanken zu “Ding Dong, Safe Harbor ist tot!

  1. Kleinvieh macht auch Mist.
    Irgendwo man ja mal anfangen. Ich find esd gut. Danke Herr Schrems!
    Und die zusaetzlichen Klicks mache ich gerne.

  2. Schade, dass der Artikel in den letzten Absätzen das einreißt, was er weiter oben aufgebaut hat. So bleibt leider nur der daneben gehende Antiamerikanismus-Vorwurf und der „Alle außer meine Dienste“-Fatalismus über. Sei es drum.

    Was eingangs aber wirklich noch fehlt ist die Tatsache, dass europäischer/deutscher Datenschutz nicht nur heißt „Alles ist verboten, außer Zustimmung“, sondern eben auch „Alles verboten, außer es ist explizit erlaubt“. Und erlaubt ist jetzt schon ne ganze Menge (alleine §14 BDSG hat neun verschiedene Erlaubnistatbestände).

    Unter anderem ist im Gegensatz zum gefühlten Datenhandel von Facebook und Co. der tatsächliche Handel mit Adreßdaten durch Verlage auf deutschem Boden bspw. perfectly compliant mit den Regelungen des BDSG: Es gibt einen entsprechenden Erlaubnistatbestand und damit dürfen die Verlage das. Hoppla!

  3. Also der gute Max hat bisher sich nicht so illusorisch geäußert, wie du ihm unterstellst, der weißt ziemlich genau was er gewonnen hat und was nicht.

  4. Guter Text, aber ich freue mich trotzdem über das Urteil. Und die Motivation dahinter ist, dass es mal ganz einfach ein „so nicht“ von höchster Instanz in die richtige Richtung ist. Ich sehe auch das damit erstmal praktisch kaum was gewonnen ist. Aber das Urteil ist ein positiver Meilenstein. Ich warte jetzt gespannt auf das „Three Mile Island“ der (Geheim-)Datensammler und Überwacher, wie es Maciej Ceglowski hier formuliert: http://idlewords.com/talks/haunted_by_data.htm – aber evtl. hilft es auch einfach nur den Verantwortlichen bei Facebook, Google und Co. zu realisieren, dass ein gewisses Maß an Selbstregulierung (zB Daten per default nur für maximal Zeitraum X vorzuhalten) durchaus Sinn machen könnte…

  5. Um hier ein Missverständnis zu korrigieren:
    Soweit man das Einverständnis bei Twitter und Co zur Datenverarbeitung abgibt – und das muss man ja bei der Anmeldung -, gibt es keinen Graubereich. Das ist dann schlicht erlaubt, dazu brauch‘ es auch kein Safe Harbor-Abkommen. Mit Einverständnis des Betroffenen ist es sogar erlaubt, die Daten in ein Land zu schicken, dass keinerlei Datenschutzrecht hat.

  6. @jochen, ganz so einfach ist das nicht. „informed consent“ stellt immer noch die information zur voraussetzung. diese voraussetzung kann man bei der aktuellen praxis hinterfragen: wird wirklich darauf hingewiesen, dass die daten in den usa gespeichert werden? wird wirklich darauf hingewiesen, dass dort anderes datenschutzrecht herrscht. wird wirklich darauf hingewiesen, dass die daten evtl von us-behörden herangezogen werden können? das wird das juristische hickhack sein, auf das man sich dabei noch einlassen müssen. einig sind sich aber alle, dass diese dinge in den derzeitigen tos und datenschutzerklärungen unzureichend erklärt werden. deswegen glaube ich, dass da noch mal was extra kommt.

  7. @mspro: Das war und ist immer das Problem mit der Zustimmung zur Datenverarbeitung. Auch mit Safe Harbor war das so.
    Insofern bleibt es dabei, dass der Rechtsrahmen nicht unzureichend ist, zumindest was die Beispiele Facebook und Twitter angeht.

    Bei Suchmachinen (ohne Login) sieht es dann schon wieder anders aus. Da haben wir dann eher einen unzureichenden Rechtsrahmen. Aber der war schon mit Safe Harbor unzureichend.

  8. Pingback: Sicherer Hafen und freier Wille | Christian Buggischs Blog

Die Kommentarfunktion ist geschlossen.