Am 01. März wurde die Vorlage für den EU-US Privacy Shield von der europäischen Kommission veröffentlicht. Max Schrems, der 2015 das „Safe Harbor“-Abkommen vor dem europäischen Gerichtshof gekippt hat, kündigte bereits an, auch gegen dieses Abkommen vorzugehen. Viele Datenschützer schließen sich seinem Plan an.
Nach Safe Harbor nun also ein Privacy Shield. Im Safe Harbor-Abkommen von 2000 wurde von der EU-Kommission festgelegt, dass personenbezogene Daten auch in den USA in einem „sicheren Hafen“ liegen. Damit wurde die Übermittlung solcher Daten in die USA legal. Das Abkommen wurde 2015 von Max Schrems, österreichischer Jurist und Datenschützer, vor den europäischen Gerichtshof gebracht. Der EUGh erklärte das Abkommen für nicht ausreichend. Als Nachfolgeregelung soll der in zwei Teile gegliederte EU-US Privacy Shield in Kraft treten. Im ersten Abschnitt werden die Konditionen, zu denen Unternehmen Daten transferieren dürfen festgelegt. Im zweiten Teil äußert sich die USA zum Thema Überwachung von Daten durch US- Behörden. Keines der beiden Elemente kann wirklich überzeugen.
Was steht überhaupt im Privacy Shield?
Im ersten Abschnitt des Privacy Shields geht es um den Schutz von Daten, die aus der EU in die USA transferiert werden. Unternehmen können sich, wie schon beim „Safe Harbor“-Abkommen, freiwillig zertifizieren. Das heißt, sie versprechen, sich an die Regeln des Privacy Shields zu halten. Dazu gehört unter anderem eine weitgehende Informationspflicht gegenüber den Kunden. Unternehmen verpflichten sich, im Zuge dieser Selbst-Zertifizierung eine konkrete Anlaufstelle für Kunden auszuschreiben, an die sich der Einzelne für Anfragen wenden kann. Diese Anfragen müssen innerhalb von 45 Tagen von den Unternehmen beantwortet werden. Für den Anfragenden dürfen dabei keine unangemessenen Kosten anfallen. In Zukunft soll auch abgefragt werden können, welche Daten wann zu welchem Zweck gesammelt wurden. Der Betroffene soll die Chance haben, die Daten bei Bedarf zu ändern, zu ergänzen oder die Löschung zu beantragen.
Versäumt es ein Unternehmen, innerhalb der 45-Tage-Frist die Anfrage zu beantworten, kann der Betroffene sich an seine nationale Datenschutzaufsichtsbehörde wenden. Diese kontaktiert dann das Department of Commerce in den USA, das die Privacy Shield-zertifizierten Unternehmen kontrolliert. Die höchste Strafe, die einem Unternehmen in diesem Fall droht, ist der Ausschluss von der Zertifizierung. Nur in besonders schweren Fällen kann die EU-Kommission dem Unternehmen einen weiteren Datentransfer aus der EU in die USA untersagen. Da allerdings das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht, hat die EU-Kommission gegenüber nicht zertifizierten Unternehmen keine Handhabe. Erst ab 2018, mit der Datenschutzgrundverordnung, könnte sich das ändern. Dann greift EU-weit das Marktortprinzip und auch amerikanische Unternehmen müssen sich an die europäischen Grundsätze halten.
Massenüberwachung „nur noch“ in sechs Fällen erlaubt
Der zweite Teil des Entwurfs widmet sich der Überwachung und Auswertung von Daten durch US- Sicherheitsbehörden. Laut US- Geheimdienstkoordinator James Clapper werden Daten zukünftig nur noch auf Basis der präsidialen Direktive PPD 28 ausgewertet. In dieser Direktive, die von Obama 2014 verabschiedet wurde, werden sechs mehr oder viel mehr weniger spezifische Zwecke genannt, für die Daten ausgewertet werden dürfen. Die Auswertung erfolgt ohne Information und Zustimmung des Betroffenen. Zu den Zwecken gehört neben der Bekämpfung des Terrorismus und der Verbreitung von Massenvernichtungswaffen auch die Bekämpfung transnationaler krimineller Bedrohungen. Des Weiteren sollen durch die Maßnahmen Aktivitäten fremder Mächte, v.a. Spionage, entdeckt und Bedrohungen für US-Streitkräfte oder verbündete Streitkräfte aufgedeckt werden.
Dass die Daten nicht missbraucht werden, soll dann einerseits von James Clapper und andererseits von einer Ombudsperson überwacht werden. Die Ombudsperson, Catherine A. Novelli, ist theoretisch zwar unabhängig von der Intelligence Community. Novelli ist aber gleichzeitig Untersekretärin des Staates und damit dem Außenministerium angegliedert. Zudem ist sie Senior Coordinator for Internal Information Technology Diplomacy und arbeitet eng mit den Verantwortlichen für die Bekämpfung der Internetkriminalität zusammen. Inwieweit also eine Person, die bereits eng mit Verantwortlichen zusammenarbeitet und deren Stelle dem US-Außenministerium angegliedert ist, als „unabhängig“ bezeichnet werden kann, darf man hinterfragen.
Wenig Hoffnung auf Entgegenkommen
Schon während der NSA-Affäre und bei der Frage nach einem No-Spy-Abkommen wurde klar, dass die USA die Datenauswertung als notwendig für die nationale Sicherheit erachten. Dass sie dabei wenig kompromissbereit sind, zeigt sich auch im jetzigen Entwurf: „Während die USA und die europäische Union das Ziel, den Privatsphären-Schutz für ihre Bürger zu verbessern, teilen, haben die USA eine andere Herangehensweise daran als die Europäische Union.“
Damit wollen sich europäische Datenschützer nicht abfinden. Der österreichische Jurist Max Schrems, der schon gegen Safe Harbor vorging, postete auf Twitter, dass es sich um rein kosmetische Verbesserungen handle. Auch Jan Philipp Albrecht, Europaabgeordneter der Grünen äußerte sich bereits kritisch: „Dasselbe (wie Safe Harbor) in Grün“. Schrems kündigte bereits an auch gegen das Privacy Shield vor den EUGh zu ziehen.
Der ehemaliger Datenschutzbeauftragter des Bundes Peter Schaar, mahnt dagegen Realismus an. Er betont, dass wir internationale Abkommen zum Datenschutz brauchen. Und zwar nicht nur mit den USA, sondern auch mit anderen Staaten. Dabei müsste man versuchen, ein möglichst hohes Niveau zu halten. Es müsse einem aber klar sein, dass dabei nicht einfach die EU-Standards übernommen würden, sondern das in Verhandlungen Kompromisse gefunden werden müssten.
Bild: geralt unter Lizenz: CC0 Public Domain