Privacy Shield: Ein Jahr Schonfrist für die EU-Kommission
Im Streit um das Privacy-Shield-Abkommen kann die EU-Kommission erst einmal aufatmen. Die europäische Datenschutzgruppe Artikel 29 hat zwar immer noch zahlreiche Bedenken. Bevor weitere Schritte unternommen werden, wollen die Datenschützer aber zunächst ein Jahr abwarten.
Denn zu diesem Zeitpunkt ist die turnusgemäße Überprüfung des Datenschutzabkommens angesetzt. Dann werde sich zeigen, ob die neuen Sicherheitsgarantien und Kontrollmechanismen wirklich so konstruiert sind, dass europäische Nutzerdaten effektiv geschützt werden. Ein entscheidender Aspekt sei dabei auch, ob die nationalen Datenschutzbehörden dann einen Zugang zu allen relevanten Informationen erhalten. Die Artikel-29-Gruppe bezeichnet diesen Termin als „Schlüsselmoment“, um das Privacy Shield zu beurteilen.
Denn Bedenken existieren immer noch, wie es in der offiziellen Mitteilung heißt. Die EU-Kommission hatte zwar im Juni mit einer neuen Version nachgebessert, nachdem die erste Fassung des Privacy Shield von praktisch allen Gruppen abgelehnt wurde und auch die Artikel-29-Gruppe erhebliche Mängel attestierte. Doch auch mit den präziseren Vorgaben stehen immer noch einige offene Fragen im Raum.
Massenüberwachung bleibt das trojanische Pferd
Einer der Knackpunkte ist wie gehabt die Massenüberwachung von amerikanischen Behörden. Eine Auflage für das Abkommen ist, dass europäische Nutzerdaten nicht massenhaft erfasst und gesammelt werden, wenn Firmen diese in die USA übermitteln. Dass es in diesem Bereich immer noch keine konkreten Zusagen von Vertretern der US-Regierung gebe, bedauern die europäischen Datenschützer.
Einige Bedenken betreffen zudem die kommerzielle Datenverarbeitung. Dabei geht es um die Frage, ob Firmen die europäischen Datenschutz-Standards einhalten, wenn Nutzerdaten in den USA verarbeitet werden.
Schonfrist für die EU-Kommission
Mit der aktuellen Entscheidung hat die EU-Kommission nun erst einmal eine Schonfrist von einem Jahr. Dann wird sich allerdings zeigen, ob das Abkommen samt der Alternativen bestand hat. Denn die Artikel-29-Gruppe hat bereits angekündigt, dass die Beurteilung des Privacy-Shield-Abkommens auch für Alternativen wie die Standardvertragsklauseln gilt. Diese nutzen Firmen derzeit, um den Transfer von Nutzerdaten in die USA rechtlich zu legitimieren.
Zwischen Rechtssicherheit und Datenschutz
Ab dem 1. August können sich Firmen nun also auf das Privacy Shield berufen, um europäische Nutzerdaten rechtssicher in die USA zu übermitteln. Es ist der Nachfolger des Safe-Harbor-Abkommens, dass der Europäische Gerichtshof infolge der „Facebook-v-Europe“-Klage im Oktober 2015 gekippt hatte. Der Grund: Es kann nicht garantiert werden, dass Firmen die europäischen Grundrechte einhalten, wenn etwa die NSA mit Programmen wie Prism massenhaft europäische Nutzerdaten auswerten.
Für Netzaktivisten und Datenschützer ändert sich daran auch mit dem neuen Abkommen nichts. Der Vorwurf: In der Theorie werde das massenhafte Sammeln und Auswerten von Daten zwar eingedämmt, doch in der Praxis seien die Vorgaben so löchrig, dass diese sich leicht aushebeln lassen. Selbst EU-Abgeordnete wie Jan Philipp Albrecht erklären, es habe nur „kosmetische Änderungen“ gegeben.
Vertreter von Wirtschaftsverbänden und Unternehmen begrüßen derweil das Abkommen. Es schaffe Rechtssicherheit und werde den transatlantischen Datenschutz verbessern. Als eines der ersten Unternehmen hatte Microsoft angekündigt, auf das Privacy Shield zu setzen.