Privacy Shield: EU-Kommission veröffentlicht Text für löchrigen Datenschutzschild
Die EU-Kommission hat den Entwurf für den geplanten Safe-Harbor-Nachfolger herausgegeben mit dem Hinweis, dass es keine anlasslose Massenüberwachung mehr geben werde. Ein US-Begleitschreiben stellt die Sache anders dar.
(Bild: Andrus Ansip)
Einen knappen Monat, nachdem die EU-Kommission einen Erfolg in den Verhandlungen zum geplanten transatlantischen "Privacy Shield" meldete, hat sie nun den Entwurf dafür zusammen mit mehreren Schreiben der US-Regierung ins Internet gestellt. Es geht im Kern um eine neue "Adäquanzentscheidung", mit der die Kommission bescheinigen will, dass die Datenschutzbestimmungen in den USA denen in der EU "angemessen" sind. Dazu kommen Zusicherungen von US-Ministerien und untergeordneten Behörden wie der Handelsaufsicht Federal Trade Commission (FTC), in denen diese die geltende Rechtslage darstellen.
Bessere Kontrollen und Beschwerdemöglichkeiten
Mit dem Safe-Harbor-Nachfolger sollen Firmen vor allem personenbezogene Kundendaten über den Atlantik schicken können. Voraussetzung dafür ist, dass sie selbst versprechen, sich an die rechtlichen Vorgaben zu halten. Verbessert werden sollen mit dem Datenschutzschild unter anderem die staatlichen Kontrollen und die Beschwerdemöglichkeiten der betroffenen Bürger.
Der Europäische Gerichtshof (EuGH) hatte die ursprüngliche Vereinbarung über einen "sicheren Hafen" im Herbst nach einer Klage des Österreichers Max Schrems für ungültig erklärt. Die Luxemburger Richter sahen nach dem NSA-Skandal die Daten von Europäern in den USA vor allem nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt.
Die Kommission erklärte nun, dass der neue Rahmen "die Anforderungen aus dem EuGH-Urteil reflektiert". Die US-Seite habe unterstrichen, dass "der Privacy Shield streng durchgesetzt" werde und es "keine anhaltslose oder massenhafte Überwachung durch die nationalen Sicherheitsbehörden geben wird".
"Massenhafte" Datenerfassung in sechs Fällen
Die EU-Kommission stützt sich dabei vor allem auf ein Schreiben von Robert S. Litt, Justiziar des US-Geheimdienstbeauftragten James Clapper. Dieser führt auf 18 Seiten detailliert die Reformen der Befugnisse der Sicherheitsbehörden nach den Snowden-Enthüllungen aus. Eine wichtige Rolle spielt dabei neben dem USA Freedom Act eine Anweisung von US-Präsident Barack Obama vom 17. Januar 2014, wonach Geheimdienstaktivitäten "so zugeschnitten wie möglich" sein sollen.
Zugleich wird aber entgegen der Ansage der Kommission ausdrücklich nach wie vor eine "massenhafte" Datenerfassung in sechs Fällen gestattet. Dazu gehört neben der Terrorismusbekämpfung etwa die Spionageabwehr, die Verbreitung von Massenvernichtungswaffen zu verhindern oder gar "internationale kriminelle Bedrohungen" zu verfolgen. Auf diese Möglichkeiten verweist die Kommission in einer eigenen Frage-und-Antwortliste. Schrems stellt daher rhetorisch die Frage, ob der "Privacy Shield" erneut ein Fall für den EuGH wird.
Justizkommissarin Věra Jourová freut sich dagegen, dass "unsere US-Partner erstmals schriftlich die Grenzen und Schutzvorkehrungen für den Zugang zu Daten durch Behörden im Rahmen der inneren Sicherheit" dargelegt hätten. Zusammen mit dem geplanten transatlantischen Rahmenabkommen für den Datenschutz im Strafverfolgungsbereich und dem neuen Judicial Redress Act mit Klagemöglichkeiten für EU-Bürger hält es die Tschechin daher für möglich, neues Vertrauen in die Datenflüsse zwischen beiden Seiten herzustellen.
Ombudsmann im US-Außenministerium
Laut dem veröffentlichten Dokumenten soll auch ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger zunächst wenden können, wenn sie Beschwerden oder Nachfragen zu der Handhabe ihrer Daten durch US-Sicherheitsbehörden haben. Die FTC will zudem strenger darauf achten, dass die beteiligten Unternehmen ihre Zusagen einhalten. Andernfalls drohten strengere Sanktionen und ein Ausschluss aus dem "sicheren Hafen". Beteiligte Firmen sollen Eingaben von Bürgern binnen 45 Tagen beantworten, sonst soll den Betroffenen ein kostenloses Schiedsverfahren genauso offenstehen wie eine Beschwerde bei nationalen Datenschutzbeauftragten.
Die Funktionsweise des Datenschutzschilds wollen beide Seiten einmal pro Jahr prinzipiell prüfen, wobei Geheimdienstexperten und Datenschützer beteiligt werden sollen. Die Kommission hat zudem zugesagt, jährlich einen "Datenschutzgipfel" mit Interessenvertretern einschließlich der Zivilgesellschaft abzuhalten. Zunächst geht der Entwurf aber an die Mitgliedsstaaten und die Artikel-29-Datenschutzgruppe, die bereits auf den Text wartet. Danach will die Kommission ihre Entscheidung treffen. Washington soll parallel die nötigen Vorbereitungen treffen, um das Rahmenwerk ebenfalls umzusetzen. (anw)
