EU-US Privacy Shield – nur wenige Verbesserungen?

Die Resonanz auf die Entscheidung der EU-Kommission, das EU-US Privacy Shield als rechtliche Basis für den transatlantischen Austausch von personenbezogenen Daten zu bestätigen, fällt in der Branche unterschiedlich aus. So trifft man beim Digitalverband Bitkom auf eine äußerst positive, fast euphorische Einschätzung der Lage: „Das Privacy Shield wird den transatlantischen Datenschutz nachhaltig verbessern. Sowohl Unternehmen, die Daten zwischen Europa und den USA transferieren wollen oder müssen, als auch die Verbraucher profitieren von den Neuregelungen“, betont Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Aus Sicht des Verbands sei die Vereinbarung ein „Meilenstein für die internationale Zusammenarbeit zwischen Regierungen und Aufsichtsbehörden, um Datenschutzverstöße zukünftig schneller zu ahnden“.

Andere Branchenkenner hingegen äußern sich deutlich zurückhaltender. So zweifelt Malte Pollmann, CEO beim IT-Sicherheitsspezialisten Utimaco, ein mögliches Plus in Sachen Datensicherheit an. Denn allein die Tatsache, dass die europäischen Datenschutzbeauftragten bei der Überarbeitung des Abkommens ausgeschlossen wurden, spräche Bände. „Zudem beklagen Datenschützer, dass die Änderungen zur ersten, abgelehnten Version nur marginal seien“, kommentiert Pollmann. Angesichts dieser Gegebenheiten rät er Unternehmen und Organisationen dazu, das Ruder selbst in die Hand zu nehmen und die Vertraulichkeit ihrer Daten in Eigenregie sicherzustellen, etwa durch Verschlüsselung so nah wie möglich an der Datenquelle.

Höheres Datenschutzniveau?

Doch welche Inhalte des transatlantischen Schutzschildes sorgen für Unruhe? Insbesondere das angeblich geschaffene „deutlich höhere Datenschutzniveau“ sorgt vielerorts für Kopfschütteln. Ein Beispiel: EU-Verbraucher können sich bei Datenschutzverstößen direkt an das Unternehmen wenden, das innerhalb von 45 Tagen dazu Stellung nehmen muss.

Dies mag noch recht einfach funktionieren, ein weiterer möglicher Beschwerdeweg indes ist etwas komplizierter. Hierbei kann die Beschwerde über eine EU-Datenschutzbehörde eingereicht werden. Diese wiederum leitet den Verstoß an das US-Handelsunternehmen weiter, welches wiederum das Unternehmen anschreibt. Ein Schelm, der hierbei gleich an Verjährungsfristen denkt ...

Noch „besser“ werden die Regelungen, wenn es um Datenschutzverstöße von US-Geheimdiensten geht. Dann können EU-Bürger nämlich eine Ombudsperson einschalten, die beim US-Außenministerium angesiedelt ist. Ihre Aufgabe ist es, den Sachverhalt aufzuklären und bei einem missbräuchlichen Verhalten – wie auch immer – Abhilfe zu schaffen.

Mal ehrlich, als ob das US-Außenministerium großes Interesse daran hätte, Machenschaften von US-Geheimdiensten publik zu machen. Auch darf gezweifelt werden, dass sich eine der mächtigsten Organisationen von einem „kleinen“ Ombudsmann auf die Finger schauen lässt, insbesondere wenn es – wie bei Datenschutzverletzungen eigentlich immer üblich – um die Bewahrung der nationalen Sicherheit geht.

Löschpflicht für personenbezogene Daten

Fairerweise sollte man den einen oder anderen positiven Punkt des Abkommens nicht unter den Tisch fallen lassen. So sieht der aktuelle Entwurf etwa eine Löschpflicht für personenbezogene Daten vor, wenn der Zweck, zu dem sie erhoben wurden, erfüllt ist. Zudem wurden die Regelung zur Weitergabe von Daten an Dritte nachgebessert, dabei muss nun das gleiche Datenschutzniveau garantiert sein.

Alles in allem muss das EU-US Privacy Shield nicht auf ewige Zeiten in Stein gemeißelt bleiben. Zwar trat das Abkommen heute in Kraft, allerdings befürchten nicht wenige Kritiker, dass der EuGH die Neuregelungen jederzeit wieder kippen könnte.

Bildquelle: Thinkstock