So sieht das neue Logo des "EU-US-Privacy-Shield" aus - dieses ist bereits fertig. Bis die ersten schriftlichen Entwürfe zum Abkommen vorliegen werden, werden noch einige Wochen vergehen.
So sieht das neue Logo des "EU-US-Privacy-Shield" aus - dieses ist bereits fertig. Bis die ersten schriftlichen Entwürfe zum Abkommen vorliegen werden, werden noch einige Wochen vergehen.
© EU-Kommission

Safe Harbor 2

Privacy Shield: "Die EU-Kommission hat nichts erreicht"

Markus Keßler

Einen Tag nachdem EU und USA einen "Safe-Harbor"-Nachfolger präsentiert haben, herrscht Ratlosigkeit. Außer schwammigen Schlagzeilen ist wenig bekannt.

Dieser Artikel ist älter als ein Jahr!

Die Europäische Kommission hat sich mit der US-Regierung auf einen Nachfolger des vom Europäischen Gerichtshof gekippten "Safe Harbor"-Abkommens geeinigt (die futurezone berichtete). Details zur neuen Regelung für den Transfer von Daten von EU-Bürgern in die USA, die auf den klingenden Namen "EU-US Privacy Shield" hört, sind bislang aber spärlich gesät. Lediglich einige unklar formulierte Vorgaben, etwa eine angebliche Verpflichtung der USA, Daten nicht zur Massenüberwachung zu missbrauchen, sind bislang nach außen gedrungen.

Spärliche Informationen

Max Schrems, der die Abschaffung von Safe Harbor mit einer Klage ins Rollen gebracht hat, sieht in der Ankündigung eine Farce: "Die EU-Kommission hat anscheinend nichts erreicht. Diese Ankündigung ist lediglich ein Versuch, das Gesicht zu wahren. Es gibt noch keine schriftlichen Informationen, selbst die Vertreter der europäischen Datenschutzorganisationen haben bislang nur mündlich Auskünfte erhalten", sagt der Datenschutzaktivist der futurezone.

© Stephan BoroviczenyFotografieWien/ViennaAustriacall: +43 6801314644

Bei der Pressekonferenz der Artikel-29-Datenschutzgruppe, die sich aus Vertretern von Datenschutzorganisationen der Mitgliedsstaaten und der EU zusammensetzt, war die Stimmung dementsprechend gedämpft. Zwar wurde die Einigung zwischen EU und USA begrüßt, weil sie helfen soll, die Rechtsunsicherheit für Unternehmen zu beseitigen. Gleichzeitig wurde aber darauf hingewiesen, dass die derzeitigen Informationen zu spärlich sind, um den "Privacy Shield" zu beurteilen.

"Bisher gibt es nur einen Austausch von Briefen zwischen Kommission und US-Regierung. Ob die neue Regelungen die Bedenken des Europäischen Gerichtshofs zum Umgang der USA mit Daten von EU-Bürgern entkräften kann, wird sich erst zeigen", sagt Isabelle Falque-Pierrotin, die Vorsteherin der Artikel-29-Gruppe, bei der Konferenz.

Prüfung ausständig

Grundsätzlich müsse jede Regelung für den Datenaustausch, selbst zwischen EU-Staaten, vier grundlegende Garantien enthalten, sagt Falque-Pierrotin: Es müsse klare Regeln für die Datenverarbeitung geben, Erforderlichkeit und Verhältnismäßigkeit müssen gegeben sein, unabhängige Kontrollinstanzen müssen vorhanden sein und die Möglichkeit zum Einspruch muss vorgesehen werden. Die Artikel-29-Gruppe will unter diesen Gesichtspunkten nicht nur den vorgeschlagenen "Privacy Shield" prüfen, sondern auch die sogenannten Standardvertragsklauseln, die nach der Abschaffung von Safe Harbor als rechtliche Grundlage für Datentransfers in die USA herangezogen werden.

"Eigentlich wissen alle, dass die Standardvertragsklausel sich ebenfalls nicht mit dem Urteil des Europäischen Gerichtshofs zu Safe Harbor in Einklang bringen lassen, weil ihr Artikel 4 besagt, dass solche Einigungen ungültig werden, wenn das europäische Datenschutzniveau nicht erreicht wird. Und das hat der Europäische Gerichtshof im Safe-Harbor-Urteil für die USA verneint", sagt Schrems.

Vorerst sicher

Eine schriftlich ausgearbeitete Vorlage für den Privacy Shield soll Ende des Monats geliefert werden. Eine Beurteilung der Standardvertragsklauseln sei laut Falque-Pierrotin erst dann möglich, weil eine mögliche Änderung der US-Vorgehensweise auch hier zu neuen Voraussetzungen führe. Nach Ansicht der Artikel-29-Gruppe sind Unternehmen, die nach dem Kippen von Safe-Harbor auf Standardvertragsklauseln setzen, vorerst auf der sicheren Seite, zumindest bis die Rechtskonformität dieser Regeln geprüft wurde.

Laut Schrems ist das aber lediglich eine Rechtsmeinung: "Die Artikel-29-Gruppe setzt sich nicht aus Juristen zusammen, sondern aus Beamten. Nationale Datenschutzbehörden könnten durchaus schon jetzt zum Einschrreiten gezwungen werden, wenn ihnen Beschwerden über Unternehmen vorliegen, die auf Standardvertragsklauseln setzen."

Viele Unternehmen sind aufgrund der unsicheren Situation schon dabei, ihre Datenverarbeitungsstrukturen zu überarbeiten, etwa durch Datenspeicherung in Europa. Bis die neue Regelung in Kraft tritt, werden noch Monate vergehen. Möglicherweise folgende Klagen beim Europäischen Gerichtshof könnten die Unsicherheit noch verlängern. "Aus meiner Sicht hängen die Unternehmen damit noch mindestens ein Jahr lang in der Luft. Wie es jetzt wirklich weitergeht, weiß keiner", sagt Schrems.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 03.02.2016, 17:00 Uhr

Markus Keßler

mehr lesen
Markus Keßler

Kommentare