MÜNCHEN (COMPUTERWOCHE) - Nach jahrelangem Hickhack haben sich die USA und die Europäische Union formal auf einen gemeinsamen Standard für den Schutz personenbezogener Kundendaten beim elektronischen Handel geeinigt. Die Europäer erkennen im Zuge der Übereinkunft, die ab Juni oder Juli dieses Jahres offiziell in Kraft treten soll, die amerikanischen "Safe-Harbor"-Richtlinien prinzipiell als ausreichend an. Die 15 EU-Mitgliedsstaaten sowie das Europäische Parlament in Straßburg müssen den Plänen noch zustimmen, ebenso die US-Regierung. Bislang gilt die Lösung nur für den elektronischen Handel, für Finanzdienstleister soll separat nachverhandelt werden. Kritiker halten das Ergebnis bereits jetzt für Makulatur.
Die Delegationen beider Blöcke haben sich darauf geeinigt, dass das vor allem auf Selbstregulierung der Industrie basierende US-System einen "adäquaten Schutz" für die sensiblen Kundendaten darstellt, wie ihn die Datenschutzrichtlinien der EU festschreiben und fordern. "Das Prinzip des ´sicheren Hafens´ entspricht den Vorschriften unserer Direktive", erklärte John Mogg, Direktor des Binnenmarkt-Direktoriums der Europäischen Kommission. Die Safe-Harbor-Prinzipien sehen unter anderem vor, dass ein Unternehmen nur mit ausdrücklicher Zustimmung eines Betroffenen dessen Daten an eine andere Company übertragen oder verkaufen darf. Sie sehen ferner vor, dass ein Konsument jederzeit Zugriff auf seine Daten haben und diese bei Bedarf korrigieren können muss.
Ein US-Unternehmen, das diese Regeln befolgen und mit Europa elektronischen Handel treiben will, kann sich beim dortigen Handelsministerium registrieren und regelmäßig kontrollieren lassen. Alternativ können interessierte Anbieter auch einer "Freiwilligen Selbstkontrolle" unter Obhut der Handelsaufsicht Federal Trade Commission (FTC) beitreten, sich einer Kontrolle durch EU-Aufsichtsbehörden unterwerfen oder nachweisen, dass die US-Gesetze in ihrem jeweiligen Geschäftsfeld mit den europäischen vergleichbar sind. Weil ein solches System nicht auf die Schnelle einzurichten ist, räumen die Europäer Zeit für die Umsetzung ein. Eine konkrete Frist wurde nicht fest gesetzt. Beide Seiten werden Mitte 2001 erneut zusammenkommen, um die Sachlage zu prüfen.
Ungeklärt bleibt zunächst die Lage im Bereich Finanzleistungen dar. "Der Finanzbereich ist nicht ausgeklammert, sondern schlicht noch nicht inbegriffen", erläutert David Aaron, Unterstaatssekretär beim US-Handelsministerium. Prinzipiell können sich amerikanische Finanzdienstleister freiwillig den Safe-Harbor-Regeln unterwerfen. Im Zuge der Modernisierung des US-Finanzwesens könnte die EU auf einer separaten Regelung bestehen. Präsident Clinton will im Rahmen der Einführung eines entsprechenden Gesetzes ("Financial Modernization Act") frühestens im Mai dieses Jahres konkrete Vorschläge für den Schutz der Privatsphäre auf den Tisch legen will. "Wir haben uns darauf geeinigt, dass eine Aufnahme des Finanzektors zum jetzigen Zeitpunkt dem Anstreichen eine fahrenden Zuges gleichkäme", kommentiert EU-Mann Mogg.
Viel Lärm um Nichts?
Nach Bekanntwerden der Einigung meldeten sich prompt die ersten Kritiker zu Wort. Einer der Hauptkritikpunkte ist die Tatsache, dass EU-Bürger die Durchsetzung ihrer persönlichen Rechte vor einem Gericht ihres Heimatlandes erstreiten sollen - und dort kommt auch das jeweilige nationale Recht zur Anwendung. Dieses ist im Falle der EU jeweils schärfer als die geplante US-Regelung. "Das ist in jedem einzelnen Land so, und darum war diese ganze Verhandlung von vornherein eine Farce", so das harsche Urteil von Simon Davies, Director der Verbraucherschutz-Initiative Privacy International (PI). Ins gleiche Horn bläst Evan Hendricks, Herausgeber des in Washington erscheinenden Newsletters "Privacy Time". "Eine Übung in Sinnlosigkeit, denn die Europäer haben weiterhin ihre Rechte unter nationalem Recht", urteilt Hendricks. Und die nationalen Gesetzgebungen seien nun einmal deutlich strikter als das Safe-Harbor-Paket, das laut Davies "in jeder Hinsicht unzulänglich" ist.
US-Verbraucher fühlen sich ohnehin benachteiligt, denn die (noch immer nicht endgültigen) Safe-Harbor-Regeln sollen nur für (EU-)Ausländer gelten. "Es ist offensichtlich, dass Europäer, die mit US-Firmen Geschäfte machen, größeren Schutz genießen als Amerikaner selbst", beklagt Barry Steinhardt, Associate Director bei der American Civil Liberties Union (ACLU) in New York.
Ferner befürchten die Amerikaner, dass die US-Handelsaufsicht Federal Trade Commission (FTC) künftig durch eine Beschwerdeflut europäischer Online-Shopper handlungsunfähig werden könnte - die FTC ist nämlich in den Safe-Harbor-Regeln als Ansprechpartner vorgesehen, der die europäischen Beschwerden sogar bevorzugt vor denen von US-Bürgern behandeln soll. "Das ganze Unterfangen steht und fällt mit der Tatsache, dass die FTC nun zum aggressiven Kampfhund für die Privacy-Rechte von Europäern zu werden droht", befürchtet Privacy-Times-Mann Hendricks.
PI-Director Davies kanzelt die gesamten Verhandlungen im Nachhinein als Veranstaltung zur Absicherung kommerzieller Interessen ab. "Hier geht es um nicht weiter als den Schutz von Handel und Investitionen. Mit der Verteidigung der Privatsphäre hat das rein gar nichts zu tun", laut sein vernichtendes Fazit. Hendricks bezichtigt USA und EU sogar, sie hätten den Wunsch ihrer Bürger nach Schutz der Privatsphäre schlicht ignoriert: "Sie kennen B2B? Nun - hier haben wir G2G, Government-to-Government, obwohl es eigentlich um die privaten Daten der Leute geht."
Allerdings hoffen Hendricks und andere Beobachter, dass sich auch in den USA letzten Ende strikte Richtlinien zum Schutz der Privatsphäre durchsetzen werden. Ähnlich wie dies bereits beim Umgang mit Kreditkartendaten geschehen sei ("Fair Credit Reporting Act"), würden die Verbraucher auch beim elektronischen Handel die nötige Reform erzwingen. "Letztlich ist das eine Menschenrechtsfrage des elektronischen Zeitalters", meint Hendricks.