Nachdem der Europäische Gerichtshof (EuGH) das Safe Harbor-Abkommen im Oktober 2015 für nichtig erklärte, mussten die EU und die USA handeln. Das neue geplante Abkommen „EU-US Privacy Shield“ steht schon in der Kritik.
Kaum detailliert und schon kritisiert
Privacy Shield soll Safe Harbor ablösen und das besser machen, was der EuGH an dem alten Abkommen kritisiert hat – maßgeblich einen unzureichenden Schutz der Daten von EU-Bürgern durch den Zugriff von US-Geheimdiensten. Am 29. Februar 2016 hat die EU-Kommission nun den ersten Entwurf von Privacy Shield veröffentlicht.
Das neue Abkommen sieht unter anderem strenge Auflagen für Unternehmen und eine robuste Durchsetzung dieser vor. Verstoßen US-Unternehmen gegen diese, sollen sie von Privacy Shield ausgeschlossen werden, was eine Erschwerung des Datentransfers für die betroffenen Unternehmen zur Folge hätte. Allerdings ist dieser Punkt weder konkret noch neu. Auflagen und deren Durchsetzung sind bei einem Abkommen schlicht zu erwarten. Die Möglichkeit eines Ausschlusses bestand auch bei Safe Harbor. Gerade dieser Punkt ist demnach eine Frage des Willens einer adäquaten Umsetzung.
Die amtierende EU-Kommissarin für Justiz Věra Jourová hob hervor, dass erstmals eine schriftliche Zusicherung der USA vorliege, wie die Schutzvorkehrungen und Grenzen des Datenzugriffs durch US-Behörden aussehen. Dabei bezieht sie sich auf ein Schreiben, in welchem die USA dies zusichern. Kritik kam umgehend, so auch von der ehemaligen EU-Kommissarin für Justiz Viviane Reding, die die Verhandlungen über ein neues Abkommen begann: Rechtssicherheit sehe anders aus.
Auch soll im US-Außenministerium ein Ombudsmann eingerichtet werden, der sich mit Beschwerden von EU-Bürgern befassen und unabhängig sein soll.
Wird Privacy Shield ein Fall für den EuGH?
Neben den oben genannten Punkten gibt es noch eine Reihe weiterer Kritiken, die Privacy Shield als unzureichend beschreiben. Besonders eine im aktuellen Entwurf vorherrschende Regelung wird als Rechtsungleichheit zwischen US- und EU-Bürgern vorgebracht: anders als US-Bürger sollen EU-Bürger den Rechtsweg vor US-amerikanischen Gerichten erst bestreiten können, wenn sie den Verwaltungsrechtsweg vollkommen ausgeschöpft haben. Zudem ist nur eine gerichtliche Korrektur der personenbezogenen Daten vorgesehen, nicht aber eine generelle Überprüfung der Rechtmäßigkeit der Datennutzung.
Der österreichische Datenschutz-Aktivist Max Schrems – Initiator der Klage, die letztlich die Nichtigkeit von Safe Harbor zur Folge hatte – sieht Privacy Shield schon als Fall für den EuGH. Aus seiner Sicht und der einiger EU-Abgeordneter bleibt das Abkommen hinter den Anforderungen des EuGH zurück. Ob dem so ist bleibt an dieser Stelle abzuwarten. Nach der Veröffentlichung des Entwurfs haben die EU-Mitgliedsstaaten und die Artikel-29-Datenschutzgruppe die Möglichkeit zu Stellungnahmen, die allerdings für die EU-Kommission nicht verbindlich sind.
Privacy Shield wird sich beweisen müssen
Bleibt es bei dem nun vorliegenden Entwurf, wird sich das Privacy Shield beweisen müssen. Klagen vor dem EuGH sind nicht unwahrscheinlich. Sollten die Mitgliedsstaaten oder die Artikel-29-Datenschutzgruppe weitere Änderungen fordern, ist fraglich, ob sie diese gegenüber den USA auch durchsetzen können. Die Verhandlungen wurden mehrmals als einseitig zugunsten der USA bezeichnet. So erlaubt der im Rahmen des „EU-US Privacy Shields“ zugestandene „begrenzte Datenzugriff“ durch staatliche Stellen in den USA auch weiterhin die Verwendung von Massenüberwachungsdaten in sechs definierten Fällen: Nutzungsgründe wie „Cybersecurity“ oder „länderübergreifende kriminelle Bedrohungen“ lassen einen weiten Interpretationsspielraum zu und werden wohl kaum zu einer restriktiveren Verwendung von in der EU erhobenen personenbezogenen Daten führen. Die besondere Hervorhebung der US-Regierung, dass sie ihre eigenen Überwachungsgesetze im Kontext mit dem Abkommen einhalten werde, stellt eine Selbstverständlichkeit dar und ist keine substanzielle Weiterentwicklung eines Datenschutzabkommens wie es derzeit betont wird.