Die EU-Kommission segnete am Dienstag den Deal mit den USA bezüglich Datenaustausch ab. Links: Penny Pritzker. Rechts: Vera Jourova.
Die EU-Kommission segnete am Dienstag den Deal mit den USA bezüglich Datenaustausch ab. Links: Penny Pritzker. Rechts: Vera Jourova.
© APA/AFP/THIERRY CHARLIER

Datenaustausch

EU und USA beschließen Privacy Shield trotz massiver Kritik

Nach Angaben der EU-Behörde soll die neue Vereinbarung einen besseren Datenschutz für europäische Bürger mit sich bringen als „Safe Harbor“. Das Abkommen war im Herbst vom Europäischen Gerichtshof wegen der Massenüberwachung durch US-Geheimdienste gekippt worden. Die neue Vereinbarung zum Datenaustausch zwischen den USA und der EU wurde insgesamt 2,5 Jahre lang verhandelt. Am Freitag wurde der nachgebesserte Entwurf von den 28 EU-Mitgliedstaaten abgesegnet, am Dienstag hat auch die EU-Kommission die Vereinbarung unterzeichnet.

„Die neue Vereinbarung ist komplett anders als Safe Harbor“, sagte EU-Justizkommissarin Vera Jourova vor Journalisten in Brüssel. Die EU-Kommissarin bezeichnete den Pakt als „solides neues System, das die personenbezogenen Daten der EU-Bürgerinnen und -Bürger schützt und Rechtssicherheit für Unternehmen gewährleistet. Damit einhergehen strengere Datenschutzstandards, die besser durchgesetzt werden, Garantien für den behördlichen Datenzugriff und ein besserer Rechtsschutz von Einzelpersonen im Falle von Beschwerden.“

Was neu ist

Im Gegensatz zu Safe Harbor soll es strenge Auflagen für Unternehmen geben, die Daten verarbeiten. Die teilnehmenden Unternehmen sollen regelmäßig überprüft werden und die Liste ständig aktualisiert. Die strengeren Bedingungen für die Weitergabe von Daten an Dritte sollen zudem dasselbe Schutzniveau im Falle einer Datenweitergabe durch ein am Datenschutzschild beteiligtes Unternehmen garantieren, heißt es in einer Aussendung der EU-Kommission.

Zudem soll es klare Schutzvorkehrungen und Transparenzpflichten beim Datenzugriff durch US-Behörden geben. Laut der EU-Kommission gibt es eine schriftliche Zusicherung der USA an die EU, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird. Das war einer der heiklen Punkte, der bei „Safe Harbor“ immer wieder kritisiert wurde. Doch hier trügt das schöne Bild.

Geheimdienst-Überwachung

Der finale Text von Privacy Shield sieht nämlich vor, dass die Massenüberwachung der US-Geheimdienste in „sechs spezifischen Zwecken“ weiterhin erlaubt sein soll - es heißt nur mit dem Begriff "bulk collection" anders. Das kritisierte auch die Artikel 29-Gruppe der EU-Datenschützer am ersten Entwurf. Die Möglichkeit der unterschiedslosen Massenüberwachung der Daten europäischer Bürger durch US-Geheimdienste sei weiterhin gegeben, hieß es. Daraufhin wurde der Entwurf der Vereinbarung zwar nachgebessert, aber die „Ausnahmen“ bleiben bestehen.

Seitens der EU-Kommission heißt es dazu: Das Büro des Direktors der nationalen Nachrichtendienste hat klargestellt, dass eine Sammelerhebung von Daten nur unter bestimmten Voraussetzungen und mit einer möglichst gezielten Ausrichtung erfolgen darf. In den USA gibt es allerdings kein Legalitätsprinzip, dem Staat (und den Geheimdiensten) ist daher alles erlaubt, was nicht ausdrücklich verboten ist.

Die „Presidential Policy Directives“, die in den USA gelten, schränken zwar den Handlungsspielraum der Geheimdienste ein, sind aber als bloße Weisungen jederzeit und im Geheimen änderbar. Ebenfalls nicht unbedeutend ist die Tatsache, dass US-Recht gaußerdem grundsätzlich nur auf dem Territorium der USA gilt, aber nicht für Geheimdienste, die in Europa operieren, erklärt die auch auf IT-Recht spezialisierte Anwaltskanzlei Baker & McKenzie auf futurezone-Anfrage.

Ombudsstelle nur für Auskünfte

Auch die „Ombudsstelle“ im Außenministerium, die eingerichtet wird, mit der sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können, ist nur beschränkt sinnvoll. Einerseits ist die „Ombudsstelle“ den Datenschützern nicht unabhängig genug, andererseits gewährt der „Judicial Redress Act“ EU-Bürgern lediglich das Recht auf Auskunft, jedoch keine Rechte auf Datenlöschung oder Schadenersatz, heißt es seitens Baker & McKenzie. Die Verfassung der USA kennt im Unterschied zur EU-Grundrechtscharta oder dem österreichischen Verfassungsrecht kein umfassendes Grundrecht auf Privatsphäre, die Garantien der US-Verfassung gelten nur für US-Staatsbürger.

Die amerikanische Handelsstaatssekretärin Penny Pritzker geht davon aus, dass die neue Vereinbarung auch vor dem Europäischen Gerichtshof standhalten wird. Dieser Ansicht widersprechen jedoch zahlreiche Experten und Juristen. „Das EU-US-Privacy-Shield lässt zahlreiche Unternehmen im rechtlichen Schwebezustand, weil es klar ist, dass es wieder vorm Europäischen Gerichtshof enden wird“, sagte dazu etwa der Grüne EU-Abgeordnete Jan Philipp Albrecht am Dienstag bei einer Pressekonferenz.

"Produkt des Drucks der IT-Industrie"

Auch der österreichische Jurist und Datenschutzaktivist Max Schrems beanstandet das Vorgehen der EU-Kommission nach wie vor scharf. Schrems, der mit seiner Klage gegen Facebook die Entscheidung des EU-Gerichtshofs zu Safe-Harbor ausgelöst hatte, sagte: „Privacy Shield ist ein Produkt des Drucks der USA und der IT-Industrie und hat nichts mit rationalen und vernünftigen Erwägungen zu tun. Es ist kaum mehr als ein kleines Upgrade für Safe Harbor, aber keinesfalls ein neuer Deal. Es ist sehr wahrscheinlich, dass es vor dem EuGH erneut nicht standhalten wird.“

Der politische und wirtschaftliche Druck, einfach „irgendetwas zu machen“, sei höher als der menschliche Verstand, erklärte Schrems. „Das Abkommen ist schlecht für Nutzer, die keinen wirklichen Schutz der Privatsphäre erwarten dürfen und schlecht für Unternehmen, weil sie es weiterhin mit einer unklaren rechtlichen Situation zu tun haben.“

Die EU-Kommission verschließe ihre Augen, „wahrscheinlich mit den Gedanken, dass eine Aufhebung wieder zwei bis drei Jahre dauert, und bis dahin ist man vielleicht nicht mehr zuständig dafür“. Dies sei traurig, denn es gehe nicht nur um die Privatsphäre sondern auch um die Rechtstaatlichkeit.

"Warten auf den EuGH"

Auch die Bürgerrechtsorganisation European Digital Rights (EDRi) äußerte am Dienstag scharfe Kritik: „Die Vereinbarung hilft nichts, weder privaten Personen, noch Unternehmen. Wir müssen jetzt darauf warten, dass der EuGH den Deal erneut für illegal erklärt“, so Joe McNamee von EDRi.

Lukas Feiler von Baker & McKenzie rät deshalb, wie andere zahlreiche Juristen, Unternehmen dazu, sich bei ihren internationalen Datentransfers daher nicht auf den Privacy Shield zu verlassen, sondern alternative Rechtsinstrumente wie insbesondere EU-Standardvertragsklauseln zu erwägen.

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare