Privacy Shield: Keine Massenüberwachung durch die USA?

Privacy Shield (Bild: EU)

Bringt der Safe-Harbor-Nachfolger die ersehnte Rechtssicherheit? Zum ersten Mal gibt es aus Washington eine schriftliche Zusicherung, dass Daten über europäische Bürger auch in den USA vor willkürlichem Zugriff geschützt sind. Dennoch, die rechtliche Grauzone beim Datenaustausch bleibt vorerst.

Die EU-Kommission veröffentlicht das neue Datenschutzabkommen mit den USA unter dem Namen “EU-U.S.-Privacy Shield”. Die Neuauflage des Safe-Harbor-Nachfolge-Abkommens soll die Rechte der EU-Bürger bei der Übertragung der Daten in die USA angeblich besser als bisher schützen.

Wie es in einer Aussendung der EU heißt, soll damit das Vertrauen der Bürger in den transatlantischen Datentransfer wieder hergestellt werden. Zum ersten Mal machen die USA auch in einer schriftlichen Zusicherung der Nationalen Geheimdienstdirektion deutlich, dass beim Zugriff auf die Daten von Europäern bei Fragen der nationalen Sicherheit klare Grenzen und Kontrollmechanismen eingehalten werden. So sieht das Papier strenge Kontrollen und Sanktionen für Unternehmen vor. Darüber hinaus werde es jährliche Kontrollen durch die Datenschutzbehörden der EU und den USA geben.

Es gibt zwar Klauseln die den Zugriff von EU-Daten durch die USA regeln, allerdings sind die ziemlich weit gefasst, kritisiert Max Schrems. (Bild: Europa v. Facebook)
Es gibt zwar Klauseln die den Zugriff von EU-Daten durch die USA regeln, allerdings sind die ziemlich weit gefasst, kritisiert Max Schrems. (Bild: Europa v. Facebook)

Justizkommissarin Vera Jourova sieht in dieser Zusage eine starkes Signal der USA und auch das Versprechen, dass es keine wahllose oder massenhafte Überwachung durch nationale Behörden geben werde. Daher wolle die Justizkommissarin auch den Entwurf zur Unterzeichnung vorschlagen. Das neue Abkommen muss nach der Abstimmung im Parlament noch von den Datenschutzbehörden der 28 EU-Staaten abgesegnet werden.

factsheet_privacy_shield
(Bild: EU-Kommission)

Das EuGH hatte Safe Harbor gekippt, weil neben dem Verdacht auf Massenüberwachung auch das Abkommen nicht in der Lage war, für die EU-Bürger ein vergleichbares Datenschutzniveau in den USA sicher zu stellen. Max Schrems, der Maßgeblich an der Aussetzung des Abkommens beteiligt war, hält jedoch von der Nachfolgeregelung nicht sonderlich viel: “Man versucht hier mit einigen Behübschungen das illegale ‘Safe Harbor’ System wiederzubeleben, die grundsätzlichen Probleme der US-Massenüberwachung und der Nonexistenz von US-Datenschutz sind aber nicht gelöst.” Die Maßgaben des EuGH seien durch die Neuauflage trotz kleinerer Fortschritte nicht gewahrt. “Auch wenn die EU-Kommission und die USA das mit großem PR-Aufwand überdecken wollen, ist das leider keine Lösung die sehr stabil aussieht”, so Schrems weiter.

Privacy Shield und EU-Datenschutzdirektive im direkten Vergleich. (Bild: M. Schrems)
Privacy Shield und EU-Datenschutzdirektive im direkten Vergleich. (Bild: M. Schrems)

Die EU-Kommission aber beruft sich unter anderem auf ein von Barak Obama abgezeichnetes Gesetz, wonach EU-Bürgern die Datenschutzrechte vor US-Gerichten zugesichert werden.

Zudem haben EU-Bürger laut dem neuen Abkommen verschiedene Möglichkeiten, bei Datenschutzfragen ihre Interessen durchzusetzen. EU-Bürger können sich bei den datenverarbeitenden Unternehmen beschweren. Diese müssen binnen 45 Tagen auf Beschwerden antworten. Zudem könne eine Beschwerde auch über den nationalen Datenschutzbeauftragten in die USA weitergeleitet werden. Kartellbehörde oder US-Wirtschaftsministerium müssen in diesem Fall innerhalb von drei Monaten antworten. Zudem soll eine Art Beschwerdestelle eingerichtet werden. Diese Ombudsperson werde, wie Außenminister John Kerry mitteilt, von Catherine A. Novelli besetzt. Wie sich allerdings Europäer an Novelli wenden können, ist derzeit noch unklar. Novelli untersteht dem Außenministerium und sei laut Kerry von den Geheimdiensten unabhängig.

Und schließlich sollen Streitfälle auch über die Schlichterstelle “Privacy Shield Panel” gelöst werden können. Das Panel kann für Unternehmen bindende Entscheidungen treffen.

Für die Wirtschaft dürfte aber der erste Eindruck des Datenschutzaktivisten Max Schrems keine gute Nachricht sein. “Die Präsentation des Entwurfs für ein “Privacy Shield” ist ein wichtiger Schritt bei der Schaffung der längst überfälligen Rechtssicherheit”, so Oliver Süme, Vorstand Politik & Recht des eco, in einer ersten Einschätzung.

Für Süme sei damit zumindest eine Lösung in Sichtweite. Denn seit dem Ende der Übergangsfrist von Safe Harbor Ende Januar operieren Unternehmen bei der Datenübertragung ohne Rechtsgrundlage. Diese Rechtssicherheit sei aber für die langfristige Planung in den Unternehmen äußerst wichtig, nicht zuletzt auch deshalb, weil der Hamburgische Datenschutzbeauftragte Johannes Caspar bereits Kontrollen angekündigt hatte. “Die Regelungen sind umfangreich und detailliert, offensichtlich wurde alles dafür getan, dass sie der als sicher geltenden Überprüfung durch den EuGH standhalten”, vermutet Süme.

“Vor dem Hintergrund der derzeit bekannten Informationen von Rechtssicherheit zu sprechen, halte ich für verfrüht und auch irreführend. Es wird noch eine ganze Menge Zeit dauern, bis diese Absichtserklärungen in wirklich rechtlich verwertbare Vorgaben umgewandelt sind, mit denen sich dann auch Gerichte, allen voran der EuGH, beschäftigen kann. Erst wenn diese juristische Prüfung erfolgreich und mit einem positiven Ergebnis im Sinne der Einhaltung europäischer Datenschutzrechte abgeschlossen ist, wird ein Status erreicht sein, bei dem von einer allgemeinen Rechtssicherheit gesprochen werden kann”, kommentiert Peter Weger, VP von den Filesharing-Anbieter Oodrive im Vorfeld der Verabschiedung des Entwurfs.

Auch Aktivist Schrems hat in diesem Punkt offenbar berechtigte Zweifel: “Auf den ersten Blick dürfte die Entscheidung der EU-Kommission unglücklicherweise direkt zum EuGH nach Luxemburg zurückgehen.” Die EU habe die Chance vertan, eine stabile Lösung zu finden. Das sei eine derart starke Missachtung der Fakten- und Gesetzeslage, dass man sich fragen müsse, welche Kräfte die Kommission antreiben.

Auch wenn der Entwurf der Prüfung durch den EuGH stand halte, biete das Abkommen gerade für Unternehmen nicht die erhoffte Retssicherheit: So gehe aus Artikel 3 des Entwurfs hervor, dass die Datenschutzbehörden der 28 Mitgliedsstaaten den Datenfluss in die USA jederzeit aufheben können, auch dann, wenn ein Unternehmen für Privacy Shield zertifiziert.