Privacy Shield

Schutz mit Einschränkungen

Die Nachfolgeregelung für „Safe Harbor“ ist da - vorläufig und wenig konkret. Aber immerhin herrscht vorerst Rechtssicherheit für Nutzer der US-Cloud.

Erst monatelang ergebnislose Verhandlungen und dann plötzlich der Durchbruch? So lässt sich die Geschichte des Safe-Harbor-Nachfolgers mit dem Namen „EU-US Privacy Shield“ auch erzählen. Datenschützer hatten die Vorgängerregelung angesichts der Snowden-Enthüllungen kritisiert. EU und USA verhandelten deshalb schon länger an einer neuen Regelung.

Die Entscheidung des Europäischen Gerichtshof (EuGH) im Oktober führte dann zur faktischen Aufhebung des alten Abkommens. Das setzte zumindest die EU als einen der Verhandlungspartner unter Druck, möglichst rasch eine neue Regelung zu finden. Das Ende des von den EU-Datenschützern ausgerufenen Moratoriums Anfang Februar rückte immer.

Standardvertragsregeln und „Corporate Bindung Rules“ gelten

Jetzt ist der neue „Privacy Shield“ zur Regelung des kommerziellen Datenaustauschs zwischen EU und USA da. Die bisher bekannten Informationen lassen ihn aber noch unfertig und etwas zu schnell gestrickt wirken.

Zum Beispiel ist die Regelung bisher nur eine Absichtserklärung der USA. Ihre Basis sollen schriftliche Zusagen des US-Geheimdienstkoordinators James Clapper sein. Offensichtlich hatten es die Beteiligten eilig, denn ein Papier mit einer genauen Formulierung soll erst in den nächsten Wochen bei den Datenschutzbehörden zur Prüfung eingehen.

Immerhin: Die EU-Behörden haben das Moratorium verlängert, zunächst bis März. Unternehmen können im Moment noch die Datenschutzinstrumente Standardvertragsregeln und „Corporate Bindung Rules“ nutzen. Rechtsunsicherheiten gibt es vorläufig keine, lediglich die Berufung auf das Safe-Harbor-Abkommen ist jetzt nicht mehr zulässig.

Die bisherigen Informationen zur neuen Regelung beruhen allein auf Auskünften der EU-Kommission. Danach überwacht das US-Handelsministerium alle Unternehmen, die Daten aus Europa verarbeiten. Wer sich nicht an die Datenschutzstandards hält, muss mit Sanktionen bis hin zum Verbot des Datenaustauschs rechnen.

Die Datenschutzpraxis selbst wird von den Justizbehörden der USA überwacht. Beide Vertragspartner prüfen alljährlich und gemeinsam die Umsetzung der Vereinbarung. Zudem wird es einen Ombudsmann geben, der unabhängig von den US-Geheimdiensten sein soll. An ihn sollen sich EU-Bürger wenden können, wenn sie ihre persönlichen Datenschutzrechte verletzt sehen.

Voraussetzungen, Einschränkungen und Umständlichkeiten

Der „Privacy Shield“ wird allerdings ähnlich wie die alte Safe-Harbor-Regelung weder ein Abkommen noch ein Gesetz sein, sondern ein Entschluss der EU-Kommission. Zudem kann er nur dann in Kraft treten, wenn zwei grundlegende Bedingungen erfüllt sind:

Erstens muss das Datenschutz-Rahmenabkommen („Umbrella Agreement“) zwischen der EU und den USA in Kraft treten. Die beiden Partner haben es bereits im September 2015 unterschrieben, doch es gilt in den USA noch nicht.

Zweitens muss der „Judicial Redress Act“ in Kraft treten. Er ist vom Repräsentantenhaus gebilligt worden, muss aber noch vom Senat beschlossen und von Präsident Obama unterzeichnet werden. Er soll eigentlich EU-Bürgern einen verfahrensrechtlichen Schutz sowie gewisse Klagerechte in Datenschutzfragen geben.

Aber: Es gibt zahlreiche Einschränkungen und Umständlichkeiten. So müssen EU-Bürger zunächst den Verwaltungsweg bemühen, also im Prinzip eine Art Eingabe oder Beschwerde machen. Erst wenn sie auf diesen Weg nichts erreichen, dürfen sie ein US-Gericht anrufen.

Dazu kommt: Die vorgesehenen Klagemöglichkeiten sind stark beschränkt, nämlich auf Auskunft zu personenbezogenen Daten und deren Korrektur. US-Bürger dürfen im Gegensatz dazu direkt den Klageweg beschreiten und können die Rechtmäßigkeit der gesamten Datenverarbeitung gerichtlich prüfen lassen.

Ohne US-Gesetz nur schwache rechtliche Bindung

Doch damit nicht genug. Die bereits eingeschränkten Klagerechte erinnern stark an einen „Gnadenerweis“: Sie sind nicht in einem Gesetz garantiert, sondern werden vom Generalstaatsanwalt (also dem Justizminister) den Bürgern bestimmter Staaten oder Regionen eingeräumt, können aber nach Belieben auch wieder entzogen werden.

Auch das „Umbrella Agreement“ leidet unter juristisch-politischen Spitzfindigkeiten. Es bezieht sich ausschließlich auf die Verfolgung von Straftaten sowie des in diesem Zusammenhang omnipräsenten Terrorismus. Geregelt wird der Datenaustausch zwischen den Strafverfolgungsbehörden auf beiden Seiten des Atlantiks. Hier soll ein möglichst hoher Schutz gewährt werden, kommerzieller Datenaustausch bleibt außen vor.

Apropos Terrorismus: Die in diesem Zusammenhang übliche Geheimnistuerei gibt es auch hier. Alle Aussagen zum Rahmenabkommen finden sich in einem Fact Sheet der EU-Kommission. Die genauen Formulierungen kennen wohl lediglich einige Auserwählte und selbst dem Innenausschuss des EU-Parlaments wurde nur „Bericht erstattet“.

Erst alle drei Regelungen zusammen ergeben die eigentliche Rechtslage in Sachen „EU-Datenschutz bei Auftragsdatenverarbeitung“. Das alles sieht nach starken Einschränkungen aus, die nur wenig an die Standards der EU-Datenschutzrichtlinie erinnern. So ist unklar, welche Rechte der Ombudsmann wirklich haben wird und welche US-Behörden unter welchen Bedingungen auf EU-Daten zugreifen kann.

Außerdem bewirkt das Fehlen einer gesetzlichen Regelung in den USA nur eine sehr schwache rechtliche Bindung. So muss sich beispielsweise der nächste Präsident nicht an Zusicherungen gebunden fühlen, die eine Vorgängerregierung abgegeben hat. Bei einem Gesetz wäre das anders, das kann nicht so leicht kassiert werden. Kurz: Der Europäische Gerichtshof wohl bald wieder Arbeit bekommen.

Bildquelle: Thinkstock

Umbrella Agreement

Judicial Redress Act

EU-US Privacy Shield

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok