„EU-US Privacy Shield“ heißt das neue transatlantische Datentransfer-Abkommen, das am Dienstagabend via offizieller Pressemitteilung seitens der EU-Kommission vorgestellt wurde. Die neuen Regelungen sollen den Vorgaben des Europäischen Gerichtshofs entsprechen, der den Vorgänger Safe Harbor im Oktober letzten Jahres für ungültig erklärt hatte. Mit dem neuen Abkommen hat sich die USA erstmalig schriftlich dazu verpflichtet, „eindeutige Transparenzvorgaben und Einschränkungen für den Zugriff von US-Behörden auf die persönlichen Daten europäischer Bürgerinnen und Bürger“ zu machen.
EuGH-Urteil gegen Massenüberwachung
Da mit dem neuen Abkommen lediglich die Grundlagen für weitergehende Vertragsauflagen gelegt wurden, sind noch keine Details bekannt, wie eng diese Beschränkungen gefasst werden. Das EuGH-Urteil sollte der unzulässigen Massenüberwachung der Europäer durch US-Geheimdienste einen Riegel vorschieben. Die Formulierung „Einschränkungen“ lässt jedoch vermuten, dass der Datentransfer im Bedarfsfall aber weiterhin überwacht werden kann. EU-Bürger bekämen aber die Möglichkeit, gegen jegliche Art von Datenschutzverletzung rechtlich vorzugehen, heißt es in der Pressemitteilung. Dies beträfe dann auch die Tech-Unternehmen, die den Datenaustausch vornehmen. Mit der rechtlichen Absicherung hatten sich die Firmen schon im Vorfeld befasst.
Absicherungen für Startups und Tech-Unternehmen
Eine der wichtigsten Errungenschaften des neuen Vertrags seien die umfangreichen Pflichten für Unternehmen, die Daten verarbeiten, sowie eine effektive Überwachung, ob diesen Pflichten auch entsprochen werde. Die rechtliche Absicherung für Startups und Tech-Unternehmen ist damit jedoch ebenfalls gewährleistet: „Our businesses, especially the smallest ones, have the legal certainty they need to develop their activities across the Atlantic. We have a duty to check and we will closely monitor the new arrangement to make sure it keeps delivering“, teilte EU-Kommissionsvizepräsident Andrus Ansip in der offiziellen Pressemitteilung mit.
Europäische Datenschutzbehörden könnten ihre Einwände außerdem an das Handelsministerium und die US-Handelskommission FTC weiterleiten. Im nächsten Schritt soll ein Ombudsmann eingesetzt werden, dem Beschwerden über unberechtigte Zugriffe gemeldet werden und der zwischen den zuständigen Behörden vermittelt.
Die Reaktionen aus dem Netz
Sowohl Befürworter als auch Kritiker sehen in dem Nachfolger von Safe Harbor einen würdigen Nachfolger – die Bewertungen unterscheiden sich lediglich in Nuancen. Unter den ersten positiven Stimmen fand sich auch Microsoft Präsident and Chief Legal Officer Brad Smith mit einem Tweet:
Today’s safe harbor announcement represents a vital step in maintaining data flows and strengthening confidence in the cloud.
— Brad Smith (@BradSmi) 2. Februar 2016
Auch Edward Snowden ließ es sich nicht nehmen, das neue noch recht undurchsichtige Abkommen zu kommentieren:
It’s not a „Privacy Shield,“ it’s an accountability shield. Never seen a policy agreement so universally criticized. https://t.co/VxXxxkIEPR — Edward Snowden (@Snowden) 2. Februar 2016
Ähnlich wie Smith sieht auch Snowden in dem neuen Abkommen eine rechtliche Absicherung für den Datenaustausch. Inwieweit der einzelne Bürger jedoch sicher vor weiterer Bespitzelung ist, gehe aus dem Schreiben nicht hervor. Auch Max Schrems, der mit der seiner Klage gegen Facebook letztlich Safe Habor zu Fall brachte, äußerte sich ebenfalls spöttisch gegenüber dem neuen Abkommen. In Anspielung auf die schriftlichen Zugeständnisse der USA twitterte er hübsche Ansichtskarten.
Why all the fuss? @EU_Justice got signed letters from the US!#SafeHarbor #Datenbrief #LetterOfTrust #LetterGate pic.twitter.com/Zf768GC9z4
— Max Schrems (@maxschrems) 2. Februar 2016
Stellungnahme und Kritikpunkte an Privacy Shield
In einer vorläufigen Stellungnahme äußerte Schrems sich dann doch konkreter zu Privacy Shield: „Es gibt anscheinend noch nicht mal einen Text. Vieles sind nur Überschriften, aber schon die Überschriften lassen befürchten, dass dieser ‚Deal‘ einfach nur ein Roundtrip zum EuGH nach Luxemburg ist. So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend größer.“
Diesbezüglich lässt sich anmerken, dass sicher auch europäische Behörden ein Interesse an der Überwachung des Datenaustausches haben und nicht nur die USA. Eine schnelle Einigung war außerdem notwendig, da sonst weitere Klagen gegen Unternehmen den Datenaustausch negativ beeinflussen könnten.
Tech-Unternehmen, die Daten über den Atlantik transferieren, dürften dank Privacy Shield aufatmen, da sie sich nun mit ihren Dienstleistungen nicht mehr in einer rechtlichen Grauzone befinden. Datenschützer werden hingegen nochmals genauer hinsehen, ob sich nicht doch ein Safe Harbor 2.0 mit PRISM-Klausel hinter den neuen Vereinbarung versteckt.
Aufmacherbild: security shield stuck into ground with flare and sky illustration via Shutterstock, Urheberrecht: Adam Vilimek
[…] einer guten Woche gab die EU-Kommission einen ersten Ausblick auf das Abkommen, das die entstandene Lücke schließen soll. EU-Justizkommissarin Jourová konnte dabei lediglich […]