Die USA und die EU haben das neue Datenschutzabkommen Privacy Shield verabschiedet. Die Vereinbarung soll den transatlantischen Datentransfer von Unternehmen rechtlich legalisieren. Während sich Befürworter erfreut über die Einigung zeigen, kritisieren Gegner, dass die neue Regelung keinen hinreichenden Datenschutz liefere. Eine unabhängige Überprüfung der europäischen Datenschutzaufsichtsbehörde steht noch aus.

Bereits im Februar wurde ein Entwurf des neuen transatlantische Datentransferabkommen Privacy Shield von der EU-Kommission vorgestellt. Das neue Abkommen soll die alte Safe-Habor-Regelung ersetzen, die der Europäische Gerichtshof im Oktober 2015 für ungültig erklärte. Als Grund für die damalige Entscheidung wurde angeführt, dass das amerikanische Recht keinen wirksamen Schutz für europäische Bürger bei der Speicherung ihrer persönlichen Daten biete. In der Kritik stand insbesondere die unzulässige Massenüberwachung der Europäer durch US-Geheimdienste.

Im April äußerte die Artikel 29 Datenschutzgruppe nach eingehender Prüfung ernsthafte Bedenken gegenüber Privacy Shield und bezweifelte, dass der Entwurf einen effektiven Schutz gegen die massenhafte Sammlung und Überwachung persönlicher Daten liefere. Einen weiteren Rückschlag musste das Abkommen Ende Mai hinnehmen, als der sogenannte EU-Ausschuss nach Artikel 31 keine Einigung erzielen konnte.

Im Juni unterzeichneten Vertreter der EU und der USA das sogenannte Umbrella-Agreement. Es soll den transatlantischen Austausch von personenbezogenen Daten zwischen den Strafverfolgungsbehörden regeln und die Zusammenarbeit bei der Verbrechens- und Terrorismusbekämpfung verbessern.

Privacy Shield beschlossen

Wie Datenschutzbeauftrager-Online berichtet, ist seit gestern der transatlantische Transfer von personenbezogenen Daten auch für Unternehmen keine rechtliche Grauzone mehr. Die EU-Kommission einigte sich mit den USA auf das Privacy-Shield-Abkommen, das von EU-Kommissarin Věra Jourová (Aufmacherfoto, rechts) und US-Handelsministerin Penny Pritzker (Aufmacherfoto, links) unterzeichnet wurde.

Die neue Vereinbarung sieht strengere Datenschutzvorgaben für US-Unternehmen vor und fordert bei Verstößen durch amerikanische Behörden stärkere Sanktionen. Laut der Zeit ist Privacy Shield wie Safe Harbor eine Adäquanzentscheidung und besitzt deshalb nicht den Status eines völkerrechtlichen Abkommens, sondern stellt einen unilateralen Beschluss dar. Unter Einhaltung bestimmter Bedingungen ist der transatlantische Datentransfer für Unternehmen also legal.

Jourová betonte, dass die gefundene Vereinbarung die Vorgaben des Europäischen Parlaments sowie die Empfehlungen der europäischen Datenschutzbehörden berücksichtige. Darüber hinaus gab die EU-Kommissarin bekannt, den EU-Bürgern einen „Citizen’s Guide“ auszuhändigen zu wollen, um sie über die Einzelheiten des neuen Abkommens aufzuklären. Bei unrechtmäßiger Überwachung können EU-Bürger nun Beschwerde bei einer unabhängigen US-Ombudsperson einreichen, die den Fall überprüft und bei etwaigen Verstößen die US-Regierung informiert.

US-Handelsministerin Pritzker bezeichnete das Abkommen sogar als „Meilenstein“. Die amerikanische Regierung sicherte der EU schriftlich zu, die massenhafte Sammlung von Daten der EU-Bürger auf Fälle, die die „nationale Sicherheit“ betreffen, zu beschränken. Die sogenannte „Bulk Data“-Sammlung soll ausschließlich dann zum Einsatz kommen, wenn die gezielte Überwachung von Einzelnen nicht möglich ist.

Daneben begrüßten Wirtschaftsverbände und Unternehmen die Verabschiedung. So nannte etwa John Frank, Vizepräsident von Microsoft, Privacy Shield eine „solide rechtliche Grundlage“. Insbesondere zeigte er sich über die Tatsache erfreut, dass das Abkommen einmal jährlich überprüft und gegebenenfalls angepasst werden soll. Und auch die EU-Mitgliedsstaaten, aus deren Vertretern sich der EU-Ausschuss nach Artikel 31 zusammensetzt, sprachen sich mehrheitlich für Privacy-Shield aus.

Kritik an Privacy Shield

Kritische Stimmen hingegen bezweifeln, dass der geschlossene Kompromiss für einen adäquaten Datenschutz sorge, da insbesondere die Bestimmungen zur Zweckbindung der Speicherung zu locker seien. Max Schrems, der Initiator der Klage gegen Privacy Shield, hält die geschlossene Vereinbarung deshalb für eine „unstabile“ Lösung.

Darüber hinaus besäße die Ombudsperson keine Macht und die Einspruchmöglichkeiten der EU-Bürger in den USA seien zu stark beschränkt. Ferner müssten sich Unternehmen auch nur dann an die Privacy-Shield-Vorgaben halten, solange sie nicht mit amerikanischem Recht in Konflikt stünden.

Eine unabhängige Stellungnahme der europäischen Datenschutzaufsichtsbehörde, die das neue Abkommen nationalen Gerichten sowie dem Europäischen Gerichtshof zur Überprüfung vorlegen kann, steht allerdings noch aus und wird nicht vor Ende Juli erwartet.