Europas Datenschutz steht auch einen Monat nach dem aufsehenerregenden Urteil des Europäischen Gerichtshofes (EuGH) auf wackeligen Füßen. Die Übergangslösungen, die die EU-Kommission nach dem Aus für das Safe-Harbor-Abkommen mit den USA anbietet, stecken voller rechtlicher Unzulänglichkeiten und Widersprüche - vor allem für die Unternehmen ein großes Risiko. So empfahl Brüssel den Betrieben gestern, verbindliche unternehmensinterne Vorschriften für den Datenaustausch mit Niederlassungen in aller Welt zu erlassen. Diese "bedürfen jeweils der Zustimmung der Datenschutzbehörde des Mitgliedstaates, aus dem das multinationale Unternehmen Daten übermitteln möchte", heißt es. Streit erscheint da unausweichlich.

Denn die in Deutschland maßgebliche Datenschutzkonferenz (DSK) hat bei ihrer Sitzung Ende Oktober beschlossen, diese sogenannten Binding Corporate Rules "bis auf Weiteres nicht zu genehmigen". Zwangsmaßnahmen will man allerdings auch nicht verhängen. Für große Konzerne sind derartige interne Datenschutz-Regeln nahezu unverzichtbar. Bestehende Regeln gelten natürlich fort, neue Standards müssten aber derzeit auf eine Genehmigung durch die DSK warten, obwohl die EU-Kommission sie ausdrücklich als Hilfsinstrument für eine Übergangszeit akzeptiert.

Die Lücke, die der EuGH mit seinem Urteil gerissen hat, ist groß. Bislang konnten sich Unternehmen in die Safe-Harbor-Liste (Sicherer Hafen) des US-Handelsministeriums eintragen und somit versprechen, das europäische Datenschutzniveau zu akzeptieren, auch wenn dies in den Vereinigten Staaten nicht anerkannt wird. Die Luxemburger Richter kritisierten aber nicht die Datenübertragung in die USA generell, sondern die gesetzliche Pflicht für US-Konzerne, gespeicherte Informationen auch dem Geheimdienst NSA zugänglich zu machen. Damit wurden die Hürden für ein neues Abkommen zwischen Brüssel und Washington hoch gelegt.

Zwar kündigte der für den Binnenmarkt zuständige Kommissar Andrus Ansip gestern an, die EU werde innerhalb der nächsten drei Monate mit den USA "einen neuen und soliden Rahmen für transatlantische Datenübermittlungen" abschließen. Doch die für Justiz und Verbraucherschutz zuständige Kommissarin Vera Jourova machte schon klar, dass das nicht so einfach sein dürfte: "Es braucht immer zwei für einen Tango." Tatsächlich sind die Gespräche weit gediehen, es fehlt lediglich die gesetzliche Zusicherung, dass die NSA nicht auf die Daten zugreift. Ob diese überhaupt zu bekommen ist, erscheint fraglich.

Aber auch die jetzt von der Kommission ins Spiel gebrachten Ausnahmereglungen helfen niemandem wirklich weiter. So dürfen Unternehmen beispielsweise die Buchungsdaten für einen Flug oder ein Hotelzimmer in den USA weitergeben, obwohl die Angaben nach europäischen Standards nicht ausreichend geschützt sind. Aber diese Datenschutzlücke wurde eben durch andere Abkommen wie dem zur Speicherung von Fluggast-Daten geregelt. Und das bleibt in Kraft.