BvD und Bitkom fordern Rechtssicherheit

Safe Harbor 2.0?

Lob und Kritik gleichermaßen erntet die grundsätzliche Einigung mit den USA bei der „Safe Harbor“-Nachfolge, die gestern von EU-Kommission bekannt gegeben wurde. „Safe Harbor 2.0“ trägt den Namen „EU-US Privacy Shield“ und löst das im Oktober 2015 vom Europäischen Gerichtshof (EuGH) annullierte „Safe Harbor“-Abkommen über den Datenverkehr zwischen EU-Unternehmen und den USA ab. Mehr als eine Absichtserklärung gibt es noch nicht – aber immerhin. Erste Forderungen der Verbände BvD und Bitkom gibt es bereits: Der „EU-US Privacy Shield“ müsse transparent und nachprüfbar sein.

Euphorisch verkündete die EU-Kommission am 2. Februar (zwei Tage nach Ablauf einer Stillhaltefrist der Europäischen Datenschutzaufsichtsbehörden): „Die Europäische Kommission und die Vereinigten Staaten haben sich auf neue Rahmenbedingungen für die transatlantische Datenflüsse geeinigt: das EU-US Privacy Shield“. Nach Ansicht der Deutschen Vereinigung für Datenschutz e.V. (DVD) ist diese Aussage „falsch und für Euphorie kein Anlass. Die wesentlichen Verhandlungen über die konkrete Vereinbarung sollen laut Aussagen der EU-Kommission erst in den nächsten Wochen erfolgen.“

Laut EU-Kommission sollen Bürger künftig bei Datenmissbrauch Schadensersatzsansprüche anmelden können, Unternehmen müssen Fristen zur Beantwortung von Beschwerden einhalten und EU-Datenschutzbeauftragte können Beschwerde beim US-Handelsministerium einreichen. Für Vorwürfe über die Ausspähung durch Geheimdienste soll eine US-Ombudsstelle eingerichtet werden. Das Abkommen muss aber noch ausgearbeitet und von den EU-Staaten sowie dem EU-Parlament geprüft und unterzeichnet werden.

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) begrüßt das Bestreben der Regierungen dies- und jenseits des Atlantiks, „zügig ein Nachfolgeabkommen für die Safe Harbor-Vereinbarung zu finden“. BvD-Vorstand Thomas Spaeing mahnte vor allem die derzeit fehlende Rechtssicherheit an.

Die Knackpunkte

„Allerdings muss das Abkommen transparent, nachprüfbar und Betroffenenrechte europäischer Bürger auch vor US-Gerichten durchsetzbar sein“, so Spaeing weiter. Seine drei Forderungen dürften die Knackpunkte sein, die dieses Abkommen von einer Augenwischerei wie „Safe Harbor“ unterscheiden. Die Datenschützer kritisierten unter anderem, dass die US-Seite die Zugeständnisse bisher lediglich in einer schriftliche Erklärung vorlege, die keine Rechtssicherheit gebe. „Eine Einigung ist dringend und notwendig“, mahnte BvD-Vorstand Spaeing an. „Die Verwendung von personenbezogenen Daten aus Europa in den USA muss aber kontrolliert werden können. Das scheint durch die jetzige Übereinkunft noch nicht gesichert.“

Die Einigung war kurz nach Ablauf der Frist bis Ende Januar zustande gekommen, die von den Datenschützern der EU-Staaten gesetzt worden war. Isabell Falque-Pierrotin, die Vorsitzende der EU-Datenschutzgruppe „Article 29 Data Protection Working Party“ (WP29) und Leiterin der französischen Datenschutzbehörde CNIL, konnte heute auf einer Pressekonferenz noch nicht sagen, ob der angekündigte „Privacy Shield“ die EU-Anforderungen an den Datenschutz erfüllt – es gebe ja gar keinen Text, der prüfbar sei. Außerdem fehle noch die Rechtsverbindlichkeit, denn es habe laut EU-Kommission bisher nur Briefwechsel gegeben. Ihre Anforderungen an den neuen Daten-Schutzschild haben die europäischen Datenschützer heute in einer gemeinsamen Presseinformation ausformuliert.

Das sei nun eine neue Situation, die auch neu bewertet werden müsse, so Falque-Pierrotin weiter. Bis dahin könnten die aktuellen Mechanismen weiter angewendet werden. Läuft alles nach Plan, zeichnet sich der neue rechtliche Rahmen für den Datenverkehr zwischen EU-Unternehmen und den USA Mitte bis Ende April ab – oder es droht dann ein Vakuum. Der Plan sieht vor: Die EU-Kommission legt innerhalb von drei Wochen die ausverhandelten Vertragsdokumente vor, so dass im März die Überprüfung beginnen kann.

Ob in dem neuen Framework noch die Konstrukte „Standardvertragsklauseln“ und „Binding Corporate Rules“ vorkommen, die derzeit statt der seit Oktober illegalen Safe-Harbor-Klauseln für den Datentransfer in die USA genutzt werden, bleibt ungewiss, so Falque-Pierrotin. Das hänge auch davon ab, welche Auswirkungen der „Privacy Shield“ darauf hat – und ob er die Daten besser schützt. Am Ende des Fahrplans für die Ausarbeitung eines stabilen Rechtsrahmens steht das Jahr 2018.

Bleiben bestehende Rechtsgrundlagen erhalten?

Auch der Digitalverband Bitkom begrüßte die Einigung auf neue Regelungen für Datentransfers zwischen EU und USA, forderte aber gleichzeitig, dass die bestehenden Rechtsgrundlagen für den Transfer personenbezogener Daten erhalten bleiben. „Standardvertragsklauseln und Binding Corporate Rules haben sich bewährt und müssen weiter genutzt werden können“, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit.

„Das neue Abkommen ist ein wichtiger Schritt zu mehr Rechtssicherheit beim Datenaustausch mit den USA“, so Dehmel weiter. „In der digitalen Welt von heute müssen neben Waren und Dienstleistungen auch Daten Grenzen überschreiten können. Dafür brauchen die Unternehmen auf beiden Seiten des Atlantiks sichere rechtliche Grundlagen.“ Gleichzeitig müsse der hohe Datenschutz der EU-Bürger gewährleistet werden.

Der Bock als Gärtner

Die Frage ist, ob das der Fall ist, wenn die USA sich dabei quasi selbst überwachen. Die Richter des EuGH hatten ja im Oktober die zuvor geltende „Safe Harbor“-Vereinbarung gekippt, gerade weil in den USA Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt sind. Droht jetzt Safe Harbor 2.0 – und das nächste EuGH-Urteil?

„An die Überwachung von EU-Bürgern müssen in den USA die gleichen hohen Maßstäbe angelegt werden wie in der EU“, betonte Dehmel daher auch. „Es darf künftig keine Massenüberwachung von EU-Bürgern mehr geben. Die US-Regierung muss zu ihrem Wort stehen.“ Und: Die Fixierung dieses Wortes in Form eines gültigen Vertrages steht noch aus.

Wie unabhängig kann der Ombudsmann sein?

EU-Bürger erhalten im Rahmen des Privacy-Shields neue Möglichkeiten, sich gegen unbefugte Zugriffe auf ihre Daten zu wehren. In einem Beschwerdeverfahren können sie mit Unterstützung des Ombudsmanns gegen Datenschutzverstöße vorgehen. Das Abkommen wird von der US-Behörde Federal Trade Commission (FTC, die unabhängig arbeitende „Bundeshandelskommission“) überwacht und jährlich von der EU-Kommission evaluiert.

Bei Verstößen müssten die Unternehmen mit Sanktionen rechnen, heißt es. Und FTC-Chefin Edith Ramirez verspricht: „We will continue to work closely with our European partners to ensure consumer privacy is protected on both sides of the Atlantic.” Dehmel konstatierte trocken: „Jetzt muss sich das neue Privacy Shield in der Praxis bewähren.“ Und man kann ergänzen: Dieser Schutzschild für die Privatsphäre muss erst einmal vertraglich formuliert und von allen Seiten unterschrieben werden.

„Es bleibt abzuwarten, ob und vor allem wie schnell die Ankündigung der Vereinbarung auch umgesetzt wird“, meinte zögerlich und gewohnt diplomatisch Andrea Voßhoff, Bundesbeauftragte für Datenschutz und die Informationsfreiheit. „Nachdem der EuGH den vermeintlich sicheren Hafen für unsicher erklärt hat, muss sichergestellt werden, dass der neue ‘EU-US Datenschutzschild’ auch wirklich seinen Namen verdient und nicht an den entscheidenden Stellen löchrig ist.“

Geharnischte Kritik

Die Kritik am geplanten „EU-US Privacy Shield“ ist jedenfalls schon jetzt geharnischt. Datenschutzaktivist Max Schrems, der das EuGH-Urteil im Oktober erstritten hatte, nannte es „Bullshitbingo“, der grüne EU-Abgeordnete und Datenschutzexperte Jan Philipp Albrecht einen „Ausverkauf des EU-Grundrechts auf Datenschutz“.

Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind auch für Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, „alles andere als gelöst“. Er spricht von altem Wein in neuen Schläuchen. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, habe sich die EU-Kommission „eine Mogelpackung andrehen lassen“. Wie schon bei Safe Harbor sei auch jetzt wieder der Bereich der nationalen Sicherheit von den Regelungen ausgenommen.

Die österreichische Zeitung „Der Standard“ sprach von einem Wunschbrief ans Datenschutzchristkind. Und Edward Snowden twitterte: „It’s not a 'Privacy Shield', it’s an accountability shield.“ Es sei wie beim Märchen „Des Kaisers neue Kleider“, kommentierte die Datenschutzorganisation Edri den Deal. Die EU-Bürger seien, was den Datenschutz betrifft, immer noch nackt.

Bildquelle: EU

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok