zum Hauptinhalt
Demonstranten halten bei Protesten während des Besuchs von Barack Obama in Berlin am Checkpoint Charlie Plakate hoch, auf denen Obama mit Kopfhörern zu sehen ist.

© dpa

Abhörprogramm Prism: EU will USA beim Sammeln beschränken

Der Prism-Skandal hat Brüssel wachgerüttelt. Viele Europapolitiker fordern Konsequenzen. Das stärkt der Justizkommissarin den Rücken – und dürfte den amerikanischen Unterhändlern das Leben schwer machen.

Von

Am 10. Juni hat die EU-Justizkommissarin Viviane Reding einen verärgerten Brief an ihren amerikanischen Amtskollegen Eric Holder (pdf) geschrieben. Der Grund waren die Medienberichte über das US-Spähprogramm „Prism“. Reding forderte „Erklärungen und Klarstellungen“ und fragte: In welchem Umfang werden die Daten ausgewertet? Handelt es sich um die Daten von Individuen oder um anonymisierte Datensätze? Darauf hätten wohl auch viele Bürger gern eine Antwort. Allerdings schweigt Eric Holder dazu, nach Angaben von Reding selbst bei einem persönlichen Treffen der beiden in Dublin Ende vergangener Woche. Auch ein Brief der deutschen Justizministerin Sabine Leutheusser-Schnarrenberger ist bis heute unbeantwortet geblieben.

Dennoch sieht es so aus, als könnte Prism eine neue Dynamik im Verhältnis zwischen Brüssel und Washington erzeugen. Viele Europaparlamentarier sind alarmiert. „Wir sollten ein Zeichen setzen“, sagt etwa Axel Voss (CDU/Europäische Volkspartei), Mitglied im Ausschuss für Inneres und Justiz. „Ich glaube, dass der Druck auf die Amerikaner mit Prism größer geworden ist.“ Viele hoffen, dass in die Verhandlungen mit den Amerikanern über den Datenschutz und Datentransfers Bewegung kommen könnte.

Der Austausch von Daten zwischen den beiden Rechtsräumen und deren Schutz krankt bislang an dem völlig unterschiedlichen Rechtsverständnis der USA und der Europäer. Axel Voss fasst es so zusammen: „Die Amerikaner sammeln den Heuhaufen, um die Nadeln zu finden. Wir sagen, wir wollen die Nadeln finden und brauchen gar keinen Heuhaufen.“ Juristisch ausgedrückt: In den USA wird nur reguliert, wer welche Daten wie nutzen darf. In Europa ist schon das Speichern von Daten geregelt.

Aufgrund dieser Unterschiede ist der Datentransfer von Europa in die USA limitiert. Grundsätzlich dürfen Daten von EU-Bürgern nur dann in Drittstaaten geschickt werden, wenn ein vergleichbarer Schutz wie in der EU gewährleistet ist. Unternehmen müssen etwa Verbraucher hier fragen, ob sie ihre Daten nutzen, weitergeben oder veröffentlichen dürfen. Weil das in den USA nicht so eng gesehen wird, hat die EU die USA nie als „sicheres Drittland“ anerkannt.

Die Datenströme, die dennoch fließen, basieren daher auf einem Flickenteppich von Einzelabkommen. Einer guter Teil ist im Zuge der Terrorbekämpfung nach 9/11 entstanden: 2001 und 2002 wurden Abkommen über den Austausch „strategischer und personenbezogener Daten“ mit Europol geschlossen. 2007 gewährte die EU den USA offiziell Zugang zu den Swift-Banküberweisungsdaten (den die Amerikaner inoffiziell längst hatten), 2012 folgte das Fluggastdatenabkommen.

Das vielleicht wichtigste Abkommen in Zusammenhang mit Prism aber ist ein Abkommen, das gar nicht zur Terrorbekämpfung gedacht war: das „Safe-Harbor-Abkommen“ von 2000, zu Deutsch das „Sicherer-Hafen-Abkommen“. Nur aufgrund dieses Abkommens ist es Unternehmen wie Facebook, Google oder Apple überhaupt möglich, die Daten von Europäern in die USA zu transferieren – und somit in den Geltungsbereich amerikanischer Sicherheitsgesetze. Die US-Unternehmen verpflichten sich mit „Safe Harbor“, grundlegende europäische Standards auch in den USA zu gewährleisten. Rund 4000 Unternehmen stehen derzeit auf der vom US-Handelsministerium verwalteten Mitgliedsliste. Datenschützer kritisieren allerdings, dass diese Unternehmen sich selbst zertifizieren. Erst wenn es Beschwerden gibt, kann die US-Kartellbehörde FTC tätig werden. Bei einer Untersuchung 2008 stellte der australische Datenschutzexperte Chris Connolly fest, dass lediglich gut ein Fünftel der Mitgliedsunternehmen die Regeln einhält. Staatliche Zugriffe regelt das Abkommen überhaupt nicht, sind die Daten erst einmal im „Drittland“ angekommen. „Wenn Firmen einer Anweisung etwa im Rahmen des Foreign Intelligence Surveillance Act folgen, verstößt dies im Regelfall nicht gegen das Safe-Harbor-Abkommen, soweit sich die Anordnungen auf in den USA gespeicherte Daten beziehen“, sagt der Bundesbeauftragte für den Datenschutz, Peter Schaar.

Was die Amerikaner über die Sorgen der Europäer denken

Sowohl Amerikaner als auch Europäer sind mit dieser komplizierten Rechtslage unzufrieden – wenn auch aus unterschiedlichen Gründen. Die Amerikaner würden gern leichter an die Daten der Europäer kommen. In einem Bericht des wissenschaftlichen Dienstes des Kongresses zum Stand der US-EU-Kooperation in Sachen Terrorbekämpfung von Mai 2013 heißt es, die Verhandlungen über den Datenaustausch würden durch die europäischen Datenschutzbedenken andauernd „verkompliziert“. Die Verhandlungen seien „beschwerlich“, „frustrierend“ und „mühsam“. Die Europäer wiederum versuchen, ihre Standards zu halten.

Um nicht immer wieder neu verhandeln zu müssen, gibt es seit 2010 Gespräche über ein „Umbrella-Agreement“, ein allgemeines EU-US-Datenschutzabkommen. Die offizielle Sprachregelung vonseiten der EU-Kommission zum Stand der Dinge lautet: „Die Mühlen mahlen langsam.“ Der Grünen-Europaabgeordnete Jan Philipp Albrecht sagt: „Da geht es im Grunde gar nicht voran.“ Ein zentraler Streitpunkt ist, ob europäische Bürger vor amerikanischen Gerichten Rechtshilfe bekommen können, was die USA verweigern. Die Europäer wiederum fordern, die Amerikaner mögen ihr eigenes Datenschutzgesetz von 1974 reformieren.

Prism ist Wasser auf die Mühlen derer, die strengere Regeln lieber auf dem Wege der geplanten Novelle der europäischen Datenschutzgesetze umsetzen wollen. Ein Entwurf der EU-Justizkommissarin wird zurzeit im Ministerrat abgestimmt. In einer älteren Fassung hätte die Verordnung die Unternehmen schon sehr stark darin eingeschränkt, Daten ihrer europäischen Kunden an Regierungen in Drittstaaten weiterzugeben. In einem Entwurf von November 2011 heißt es, dass Unternehmen Daten nur weitergeben dürfen, wenn das von einem Rechtshilfeabkommen gedeckt ist und wenn eine europäische Datenschutzbehörde ausdrücklich zugestimmt hat. Im Zuge der Verhandlungen zwischen den EU-Mitgliedstaaten wurde dieser Paragraf aber aufgeweicht. In der nun vorliegenden Fassung von Dezember 2012 ist etwa die Zustimmung der Datenschutzbeauftragten entfallen.

Nach Prism formiert sich nun eine Allianz für die Wiederaufnahme der strengeren Formulierung. Das fordern Peter Schaar, die Justizkommissarin und auch der Innen- und Rechtsausschuss des EU-Parlaments. Man sei sich über Partei- und Ländergrenzen hinweg einig, dass es eine Verschärfung geben muss, sagen sowohl Albrecht als auch Voss.

Dass Verhandlungen mit den USA überhaupt nur auf EU-Ebene Sinn ergeben, meint auch das deutsche Justizministerium. „Insellösungen helfen nicht weiter“, sagt ein Sprecher. In Amerika allerdings sehen das viele Sicherheitsexperten genau umgekehrt: Warum mit der EU verhandeln und riskieren, dass das Parlament das Abkommen abschmettert, wenn es doch gute Kontakte zu den Einzelstaaten gibt? Holder und Reding haben haben nun eine transatlantische Arbeitsgruppe eingesetzt, in der Datenschutz- und Sicherheitsexperten über Prism diskutieren sollen. Die EU-Justizminister werden sich voraussichtlich beim nächsten Treffen über eine Linie abstimmen, so will es Sabine Leutheusser-Schnarrenberger. Und der Ministerrat will im Sommer weiter über die Datenschutzverordnung beraten, der Beschluss im EU-Parlament wurde soeben auf den Herbst vertagt, um Zeit zu gewinnen.

Ob die EU Spähprogramme wie Prism tatsächlich einschränken kann, daran zweifelt selbst Jan Philipp Albrecht. „Die Geheimdienste sind das schwarze Loch des Rechtsstaats und der Demokratie in der Welt“, sagt er. „Die Debatte über ihre Kontrolle im digitalen Zeitalter beginnt erst und wird uns lange begleiten.“

Zur Startseite