Privacy Shield: Grundzüge eines neuen Datentransferabkommens
Die EU-Kommission hat sich am 2. Februar nach zweijährigen Verhandlungen mit der US-Regierung auf die Grundlinien einer neuen Vereinbarung zum Austausch von Daten geeinigt. Die Übereinkunft trägt den Namen EU-US Privacy Shield und soll das Safe-Harbor-Abkommen ersetzen, das der Europäische Gerichtshof mit seinem Urteil vom 15. Oktober 2015 aufgrund der Missachtung des Grundrechts auf Privatleben und gerichtlichen Rechtsschutz für ungültig erklärt hatte. Seit dieser Gerichtsentscheidung stehen zahlreiche europäische Firmen vor der Frage, auf welcher rechtlichen Grundlage sie beispielsweise Daten von Mitarbeitern legal in die USA transferieren können. Die europäischen Datenschutzbeauftragten hatten den Firmen eine Übergangsfrist bis zum 31. Januar eingeräumt, in der sie nicht gegen die Anwendung von Safe Harbor vorgehen wollten. Doch Rechtssicherheit ist für die betroffenen Unternehmen auch mit der neuen Vereinbarung zwischen den EU und den USA zunächst einmal nicht in Sicht.
Grundzüge der Vereinbarung
Denn auch wenn die beiden EU-Kommissare Andrus Ansip und Věra Jourová bei ihrer Pressekonferenz anlässlich der Einigung mit den USA von „neuen starken Rahmenbedingungen für Datenflüsse“ und „verbindlichen Zusicherungen“ der USA sprachen, konnten sie diese Verhandlungsergebnisse nicht schriftlich belegen. Die entsprechenden Dokumente sollen erst in den kommenden Wochen mit den USA ausgearbeitet werden. – Was bisher bekannt ist: Zukünftig solle es eine bessere Kontrolle von Firmen durch das US-Handelsdepartment, bessere Transparenz und kostenlose Beschwerdemöglichkeiten für Verbraucher, strengere Regeln für den Datentransfer, eine aktivere Rolle der Datenschutzbeauftragten (Übermittlung der Verstöße an die Federal Trade Commission) sowie eine jährliche Überprüfung der Vereinbarung unter Beteiligung der europäischen Datenschutzbeauftragten geben. Dies hatte Elisabeth Kotthaus, stellvertretende Leiterin der Politischen Abteilung der EU-Kommission in der Vertretung in Deutschland bereits am 27. Januar bei einer Diskussion zu Safe Harbor an der EAID aus den Verhandlungen berichtet. Nach Angaben der EU-Kommission wird in den USA außerdem die Stelle eines Ombudsmannes eingerichtet, der sich um angezeigte Datenschutz-Verstöße kümmern soll. Im Zuge der Verhandlungen hätten die USA laut EU-Kommissarin Věra Jourová weiterhin zugesichert, „dass EU-Bürger keiner Massenüberwachung durch die USA ausgesetzt sind“. Offenbar stammt diese Zusicherung allerdings lediglich aus den Briefen von US-Geheimdienstkoordinator James Clapper. Seine Reputation steht in Zweifel, seitdem bekannt ist, dass er den US-Kongress nicht in vollem Umfang über das Ausmaß der NSA-Überwachung informiert hat.
Wie der Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz, Peter Schaar, ebenfalls bereits bei der Veranstaltung seines Vereins Ende Januar darstellte, bestehen von Seiten der USA darüber hinaus noch viele Bringschulden. So sei beispielsweise der Judicial Redress Act (JRA) noch nicht vom US-Kongress gebilligt worden. Das Gesetz regelt die Rechte, die Bürger anderer Länder in den USA haben und sieht laut Schaar u.a. vor, dass EU-Bürger im Gegensatz zu US-Bürgern zunächst einmal versuchen müssten, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen, bevor sie sich an ein US-Gericht wenden dürfen. „Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – auch weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen“, warnt der ehemalige Datenschutzbeauftragte der Bundesregierung in einem Beitrag auf „Heise Online“.
Reaktionen
Die Reaktionen bei den Stakeholdern reichen derweil von Zurückhaltung über Besorgnis bis hin zur Empörung. Während der Digitalverband Bitkom und der Verband der Internetwirtschaft Eco offenbar noch die Details der Vereinbarung abwarten und an die EU appellieren, die hohen europäischen Datenschutzstandards zu sichern, zeigen sich beispielsweise der Bundesverband Digitale Wirtschaft (BVDW) und der Verbraucherzentrale Bundesverband (vzbv) bereits sehr besorgt. „Die Wirtschaft braucht […] transparente, robuste und nachhaltig stabile Regeln, die eine Ausgewogenheit zwischen den Rechtssystemen sicherstellen. Zum gegenwärtigen Zeitpunkt erfüllen die bislang erkennbaren Vereinbarungslinien diese Anforderungen eher nicht – weder aus Perspektive der Wirtschaft noch des Konsumenten“, warnt der BVDW-Vizepräsident Thomas Duhr. Für den vzbv-Vorstand Klaus Müller ist es „nicht akzeptabel“, dass künftig das US-Handelsministerium „im eigenen Ermessen“ entscheiden darf, ob es Beschwerden von EU-Bürgern nachgehe, die von EU-Datenschutzbehörden gemeldet werden. Vernichtend ist hingegen das Echo in der Politik. Während sowohl CDU/CSU als auch Die Linke im Deutschen Bundestag zu dem Thema gar nicht zu vernehmen sind, zeigen sich EU- und Bundestagsabgeordnete von Bündnis 90/Die Grünen und der SPD einig in der Kritik an dem aktuellen Verhandlungsergebnis. Jan Philipp Albrecht, der Verhandlungsführer des EU-Parlaments bei der EU DSGVO von der Partei Bündnis 90/Grünen, sieht in der angekündigten Neufassung einen „Affront der EU-Kommission gegenüber dem Europäischen Gerichtshof und den Verbraucherinnen und Verbrauchern in Europa“ und einen „Ausverkauf des EU-Grundrechts auf Datenschutz“. Die innenpolitische Sprecherin der SPD-Fraktion im EU-Parlament, Birgit Sippel, hält ebenso wie der netzpolitische Sprecher von Bündnis 90/Die Grünen im Deutschen Bundestag, Konstantin von Notz, ein erneutes Scheitern vor dem Europäischen Gerichtshof für wahrscheinlich.
Weiterhin Rechtsunsicherheit
Die betroffenen Firmen indes werden auch in drei Wochen, wenn das EU-US Privacy Shield schriftlich vorliegt, noch keine Rechtssicherheit haben. Die Vorsitzende der nationalen Datenschützer der EU, Isabelle Falque-Pierrotin, hatte am Mittwoch in einer Pressekonferenz angekündigt, dass die Überprüfung der Dokumente voraussichtlich bis Mitte April dauern werde. Immerhin hat die Artikel-29-Gruppe eine Übergangsregelung verlängert, wonach die europäischen Firmen zumindest auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules Daten in die USA transferieren dürfen. Beide sind möglicherweise ebenfalls von dem Safe-Harbor-Gerichtsurteil betroffen. Ob sie in Kraft blieben, könne erst entschieden werden, wenn die USA ihren Geheimdiensten im Rahmen von Privacy Shield tatsächlich Grenzen aufzeigten, so Falque-Pierrotin. Unternehmen, die weiterhin auf Grundlage von Safe Harbor Datentransfer betreiben, müssen allerdings damit rechnen, dass die nationalen Datenschutzinstitutionen gegen sie vorgehen, wenn entsprechende Beschwerden vorliegen.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Nadine Brockmann ist als Analystin für das Themenfeld Netzpolitik verantwortlich.
Empfehlung der Redaktion
Artikel teilen
Autor:in
