EU-US Privacy Shield: Datenschutz-Desaster hinter den Kulissen
Als die EU-Kommission in der letzten Woche den Safe-Harbor-Nachfolger „EU-US Privacy Shield“ vorstellte, wurde der Eindruck erweckt, dass die Verhandlungen mit der US-Regierung zumindest auf politischer Ebene abgeschlossen sind. Hinter den Kulissen sieht es aber offenbar anders aus.
Keines der Kernprobleme ist gelöst
Das berichtet der ORF und beruft sich dabei auf Informationen, die aus Brüsseler Diplomatenkreisen stammen. Demnach soll etwa noch nicht einmal geklärt sein, inwieweit die US-Behörden auf personenbezogene Daten aus Europa zugreifen dürfen. Dabei ist das einer der zentralen Punkte des neuen Abkommens. Denn das alte Safe-Harbor-Abkommen ist unter anderem an den Überwachungsprogrammen gescheitert, die amerikanischen Behörden und Geheimdiensten einen praktisch unbegrenzten Zugang zu europäischen Nutzerdaten ermöglichen. Das sei aber nicht mit den europäischen Grundrechten vereinbar, so die Urteilsbegründung vom Europäischen Gerichtshof. Dementsprechend wären die europäischen Nutzerdaten auch nicht sicher, wenn Unternehmen diese in die USA übermitteln.
Um den transatlantischen Datenfluss auch in Zukunft zu gewährleisten, müssten die amerikanischen Überwachungsprogramme von der US-Regierung also eingeschränkt werden. Laut dem ORF-Bericht sind solche Gesetze derzeit aber nicht geplant. Ebenso wenig habe das „Privacy Shield“ bislang einen Vertragscharakter, es würde noch keine konkrete Zusage von irgendeiner US-Behörde vorliegen.
So lautet die grundsätzliche Einschätzung der Brüsseler Diplomaten: Ein Safe-Harbor-Nachfolger kann nur fristgerecht umgesetzt werden, wenn die EU-Kommission bei allen entscheidenden Datenschutz-Aspekten nachgibt. Damit würde das „EU-US Privacy Shield“ aber nicht den Auflagen entsprechenden, die der Europäische Gerichtshof voraussetzt.
Taktik: Zeit gewinnen
Wenn diese Aussagen zutreffen, ist es schon erstaunlich, mit was für großen Worten sich die EU-Kommission in der letzten Woche aus der Deckung gewagt hat. Das Scheitern wäre praktisch vorprogrammiert. Doch die EU-Kommission stand auf der anderen Seite auch unter dem Druck der europäischen Datenschutzgruppe Artikel 29. Diese hatte eine Frist bis zum 31. Januar eingeräumt, um ein neues Abkommen auszuhandeln. Wäre also kein Nachfolger präsentiert worden, hätte die Rechtsgrundlage für den transatlantischen Datenfluss fallen können – ein Szenario, vor dem praktisch alle Wirtschaftsverbände gewarnt hatten. Denn zahlreichen Unternehmen würden kaum kalkulierbare Kosten drohen, wenn diese keine rechtliche Grundlage mehr hätten, um personenbezogene Daten in die USA zu übermitteln.
Allerdings werden die europäischen Datenschützer nun prüfen, ob das „Privacy Shield“ den vollmundigen Ankündigungen entspricht und die Massenüberwachung von europäischen Nutzerdaten – wie es in der offiziellen Mitteilung heißt – tatsächlich stoppen wird. Die EU-Kommission sprach zwar von Briefen, in denen die US-Administration erstmals schriftlich zugesichert habe, dass amerikanische Behörden und Geheimdienste nur noch einen beschränkten Zugang zu den Datenbergen erhalten. Doch der Haken an der Sache: Diese Schreiben sollen vom Geheimdienstdirektor James Clapper stammen.
Und Clapper ist der Offizielle aus der US-Regierung mit dem denkbar schlechtesten Leumund, wenn es um die Massenüberwachung durch US-Geheimdienste geht. Denn er war es, der noch im März 2013 im US-Kongress erklärt hatte, dass die NSA keine Daten von Millionen Bürgern aus den USA sammelt. Keine drei Monate später zeigten dann die NSA-Enthüllungen von Edward Snowden, dass das Gegenteil der Fall war.
Flickschustern mit einem transatlantischen Workaround
Da die US-Administration derzeit nicht bereit ist, Zugeständnisse per Gesetz zu verankern, lautet der aktuelle Plan der EU-Kommission offenkundig: Zeit gewinnen. Laut den Informationen des ORF ist zunächst nur eine Art „Workaround“ geplant, der die bestehenden Gesetze in den USA zumindest halbwegs mit dem Urteil des Europäischen Gerichtshofs in Einklang bringen soll. So wird etwa mit dem Ombudsmann für Beschwerden von EU-Bürgern ein Posten geschaffen, der zumindest eine der Auflagen auf dem Papier erfüllt. Konkrete Gesetze könnten dann bis zum Herbst mit der US-Regierung ausgehandelt werden.
Wie reagieren die Datenschützer?
Die Frage ist allerdings, ob die europäischen Datenschützer bei diesem Spiel mitmachen. Unabhängig von dem ORF-Bericht erklärt der Hamburger Datenschutzbeauftragte Johannes Caspar auf Anfrage von ComputerBase: Das „Privacy Shield“ könne derzeit noch nicht bewertet werden, da bis dato nur die Ankündigung der EU-Kommission vorliege. „Es stimmt jedoch skeptisch, dass eine gesetzliche Verankerung der Datenschutzgarantien in den USA offenbar gar nicht vorgesehen ist“, so Caspar. Allein damit würden aber schon Zweifel bestehen, ob das neue Abkommen die Vorgaben des Europäischen Gerichtshofs (EuGH) erfüllen kann.
„Ob damit die Vorgaben des EuGH erreicht werden, ist zweifelhaft.“ Johannes Caspar
Sollte die Artikel-29-Gruppe dem „Privacy Shield“ nun tatsächlich eine Absage erteilen, droht erneut ein Gang vor die Gerichte. In diesem Fall dürften es dann wieder die Richter vom Europäischen Gerichtshof sein, die das letzte Wort haben. Und deren Haltung ist bereits bekannt.
Ein Privatsphäre-Schild oder doch nur ein Boomerang?
So bleibt letztlich festzuhalten: So massiv die Kritik an dem „Privacy Shield“ ist, vorerst hat sich die EU-Kommission zumindest einige Wochen Zeit erkauft. Denn sämtliche Dokumente müssen den europäischen Datenschützern erst Ende Februar übergeben werden. Und eine Entscheidung wird im April erwartet. Spätestens dann wird sich allerdings zeigen: Kann die EU-Kommission die Versprechen umsetzen oder mutiert das Privacy Shield nicht letztlich doch zu einem Boomerang? Denn die Datenschützer dürften äußert frustriert reagieren, wenn die EU-Kommission als Zugeständnis wirklich nicht viel mehr vorzulegen hätte als ein Schreiben von James Clapper.