Privacy Shield: Verbraucherschützer lehnen Datenschutz-Abkommen ab
Das neue EU-US Privacy Shield entspreche nicht dem EU-Recht, kritisiert nun auch der Bundesverband der Verbraucherzentralen (vzbv). Statt das Datenschutzabkommen in der aktuellen Form zu beschließen, müsse die EU-Kommission erst einmal nachverhandeln, lautet daher die Forderung.
„Das Abkommen darf europäisches Datenschutzrecht nicht unterlaufen. Sonst droht Privacy Shield womöglich dasselbe Ende wie der Safe-Harbor-Vereinbarung“, so der vzbv-Vorstand Klaus Müller. Der Elefant im Raum ist wie gehabt die Massenüberwachung durch die amerikanischen Geheimdienste, die auch mit dem neuen Abkommen nicht ausgeschlossen wird. Solange sich das nicht ändere, dürfte das Privacy Shield ebenfalls vor dem Europäischen Gerichtshof (EuGH) scheitern, erklärt der vzbv.
Konkrete Vorgaben für Unternehmen
Doch es ist nicht nur die Geheimdienst-Überwachung, auch die Vorgaben für Unternehmen wären laut der vzbv-Analyse zu lasch. Demnach müssten die Privacy-Shield-Vorgaben im Kern mit dem europäischen Datenschutzrecht übereinstimmen. Das bedeutet: Wenn ein Unternehmen die Nutzerdaten von EU-Bürgern in die USA übermittelt und auswertet, müssten Grundregeln wie etwa die Einwilligung in die Datenverarbeitung, Datensparsamkeit und Transparenz eingehalten werden.
Ein umstrittener Punkt ist auch der Zweck, für den Unternehmen Nutzerdaten sammeln und verarbeiten dürfen. Dieser müsse eindeutig sein und wenn es eine Änderung gebe, dürfe das nur innerhalb von klar definierten Kriterien erfolgen. Nicht ausreichend sei es hingegen, wenn lediglich die Möglichkeit eines nachträglichen Widerspruchs bestehe, wenn Daten an Dritte weitergegeben oder für „wesentlich“ andere Zwecke ausgewertet werden.
In diesem Bereich müsse die EU-Kommission noch nachbessern. Denn in der aktuellen Form wären die Vorgaben schlicht zu vage, sodass die Unternehmen noch zu viel Spielraum haben.
Analyse entspricht Kritik von Bürgerrechtlern und Netzaktivisten
Die Analyse der Verbraucherschützer entspricht dabei der Kritik, die in den letzten Wochen und Monaten auch Netzaktivisten und Bürgerrechtler äußerten. Mitte März veröffentlichten etwa mehrere zivilgesellschaftlichen Gruppen einen offenen Brief, der sich an die Vertreter der EU richtete. Die Kernaussage: Wenn das Privacy Shield eine rechtmäßige und vertrauenswürdige Grundlage für transatlantische Datenflüsse sein soll, müsse nachgebessert werden.
Der Fokus lag dabei auf der Massenüberwachung. „Zunächst müssten die USA die Überwachungsbefugnisse ihrer Geheimdienste grundlegend reformieren, so dass den massenhaften und faktisch unkontrollierten Zugriffen, Speicherungen und Verarbeitungen von personenbezogenen Daten europäischer Bürgerinnen und Bürger ein Ende bereitet wird“, heißt es in der Mitteilung der Digitalen Gesellschaft, die den offenen Brief ebenfalls unterzeichnet hat.
Nächste Woche folgt die Stellungnahme der europäischen Datenschützer
Wenn es nach dem Willen der EU-Kommission geht, soll das Privacy Shield im Juni 2016 in Kraft treten. Zuvor steht aber noch die Entscheidung der europäischen Datenschutzgruppe Artikel 29 an – derzeit prüfen die Vertreter der EU-Datenschutzbehörden noch, ob das Privacy Shield mit dem EuGH-Urteil vereinbar ist.
Präsentiert werden soll der finale Bericht in der kommenden Woche. Und dann werden die europäischen Datenschutzbehörden auch entscheiden, ob das Privacy Shield als Rechtsgrundlage für den transatlantischen Datenfluss anerkannt wird.