EU-US Privacy Shield: Europäische Datenschützer verlängern Schonfrist
Im Streit um den Transfer von Nutzerdaten in die USA ist der Druck vorerst aus dem Kessel. Die europäischen Datenschützer von der Artikel-29-Gruppe haben die politische Schonfrist um einige Wochen verlängert, nachdem die EU-Kommission gestern mit dem „EU-US Privacy Shield“ einen Safe-Harbor-Nachfolger vorgestellt hatte.
Vorgaben für das Privatsphäre-Schild
Dass die Frist der Datenschützer – zumindest mehr oder weniger – eingehalten wurde, sei ein gutes Zeichen, erklärte Isabelle Falque-Pierrotin. Sie ist die Vorsitzende der Artikel-29-Gruppe, die sich aus Vertretern der europäischen Datenschutzbehörden zusammensetzt und beim Safe-Harbor-Streit die politische Linie vorgibt. Inhaltlich bewertet wurde das „EU-US Privacy Shield“ aber noch nicht. Denn eines der Kernprobleme des neuen Abkommens ist, dass es sich bislang nur um eine politische Vereinbarung handelt. Ein finaler Entwurf, der dann auch die juristischen Details enthält, existiert noch nicht.
Bis dato kennen selbst die Mitglieder der Artikel-29-Gruppe nicht viel mehr als die Eckpunkte, die die EU-Kommission in der offiziellen Erklärung mitgeteilt hat. Daher wurden zunächst nur einige Vorgaben gemacht, die das neue Abkommen erfüllen muss. Das Ziel lautet: Es muss garantiert werden, dass europäische Nutzerdaten vor dem grenzenlosen Zugriff von US-Geheimdiensten geschützt sind. In der Praxis heißt das:
- Es muss klare und präzise Regeln geben, sodass jeder Nutzer bei Bedarf nachvollziehen kann, was mit seinen Daten geschieht.
- Es muss sichergestellt werden, dass Behörden die Nutzerdaten nur in einem Rahmen sammeln und auswerten, der notwendig und verhältnismäßig ist.
- Es muss ein unabhängiges Aufsichtsgremium geben, dass die Einhaltung der Regeln überwacht und diese auch durchsetzen kann.
- Europäern müssen wirksame Rechtsmittel gewährt werden, um gegen Überwachungsmaßnahmen vorgehen zu können.
Fristverlängerung zugunsten der Unternehmen
Diese Vorgaben muss das „EU-US Privacy Shield“ also erfüllen, damit Unternehmen auch künftig personenbezogene Daten in die USA übermitteln können, ohne die Auflagen des Europäischen Gerichtshofs (EuGH) zu verletzen. Die Luxemburger Richter hatten das Safe-Harbor-Abkommen infolge der „Facebook-v-Europe“-Klage gekippt, weil die Massenüberwachung der US-Geheimdienste nicht mit den europäischen Grundrechten vereinbar ist. Dementsprechend wären europäische Nutzerdaten nicht sicher, wenn diese in die USA übermittelt und dort verarbeitet werden.
Bis Ende Februar hat die EU-Kommission nun Zeit, um der Artikel-29-Gruppe den finalen Entwurf des „EU-US Privacy Shield“ auszuhändigen. Zudem wollen die Datenschützer noch weitere Dokumente wie etwa die Briefe, die die EU-Kommission von der Obama-Administration erhalten hatte, einsehen. In diesen wurde zugesichert, dass amerikanische Behörden künftig Datenschutzrechte von EU-Bürgern beachten wollen.
Wenn die Artikel-29-Gruppe sämtliche Dokumente ausgewertet hat, ist ein erneutes Treffen geplant, das vermutlich Ende März stattfinden wird. Dann soll auch endgültig entschieden werden, ob das „EU-US Privacy Shield“ den Auflagen des Europäischen Gerichtshofs entspricht.
Zumindest für Unternehmen ist das erst einmal eine gute Nachricht: Bis die finale Entscheidung fällt, können diese weiterhin die Safe-Harbor-Alternativen wie die EU-Standardvertragsklauseln und die Binding Corporate Rules nutzen, um den Transfer von personenbezogenen Daten in die USA rechtlich abzusichern. Vorerst drohen also keine Klagen. Damit wird auch den Forderungen von Wirtschaftsverbänden erfüllt, die sich in den letzten Tagen vehement dafür ausgesprochen hatten, dass die Schonfrist verlängert wird. „Standardvertragsklauseln und Binding Corporate Rules haben sich bewährt und müssen weiter genutzt werden können“, sagte etwa Susanne Dehmel vom IT-Branchenverband Bitkom.
Massive Kritik von Datenschützern und Netzaktivisten
Die Frage ist nur, ob das auch mittelfristig so bleibt. Während die Artikel-29-Gruppe sich bislang noch zurückhaltend äußert, fällt das Urteil von anderen Datenschützern und Netzaktivisten praktisch einstimmig aus: Das „EU-US Privacy Shield“ sei eine Farce, bei der alter Wein in neuen Schläuchen verkauft werde. „Wenn die Kommission behauptet, es werde künftig keine Massenüberwachung von Daten aus der EU in den USA geben, ist das nicht mehr als ein schlechter Witz“, erklärt etwa Alexander Sander von dem Bürgerrechtsverein Digitale Gesellschaft. Ebenso kritisiert der österreichische Datenschutzaktivist Max Schrems, der die „Facebook-v-Europe“-Klage auf den Weg gebracht hatte: Ein „paar Briefe von der scheidenden Obama-Administration“ wären „langfristig keine rechtliche Garantie für die Grundrechte von 500 Millionen Europäern“.