Das Safe-Harbour-Abkommen wurde im Jahr 2015 vom Europäischen Gerichtshof (EuGH) einkassiert. Sein geistiger Nachfolger “Privacy Shield” ist die nächste Stufe im Ringen um eine tragfähige Datenschutzregelung zwischen EU und USA. Politiker und Unternehmer glauben an dessen Erfolg – oder wollen daran glauben. Für Kritiker taugt der angekündigte Paradigmenwechsel nicht mal als Reförmchen. Sie könnten Recht haben.
“Der Wert eines guten Abkommens beruht auf seiner Dauer.” Das wusste bereits Dschuang Dsi, jener taoistische Philosoph, der im dritten Jahrhundert v. Chr. gegen den Konfuzianismus zu Felde zog. Und tatsächlich: Nimmt man nur die Dauer als Gradmesser, wird das neue Datenschutzabkommen zwischen EU und USA, Privacy Shield, wohl schnell wieder an Wert verlieren.
Dank Privacy Shield erhalten EU-Bürger künftig das Recht, in den USA zu klagen, sobald ihre Daten von amerikanischen Unternehmen oder Geheimdiensten missbraucht worden sind. Auch das Weiterreichen personenbezogener Daten zwischen transatlantischen Unternehmen soll wieder in geregelteren Bahnen verlaufen.
Die Freude in Brüssel war groß: “Wir haben sehr hart mit unseren amerikanischen Partnern daran gearbeitet, einen Neustart hinzulegen”, resümierte die EU-Justiz- und Verbraucherschutzkommissarin Vera Jourova. Die US-Staatssekretärin für Handel, Penny Pritzker, sprach sogar von einem “Meilenstein”, den die EU und die USA mit der neuen Reform etabliert hätten.
Vielleicht war die Freude gar ein bisschen zu groß? Der Wiener Jurist Max Schrems, der als Kläger schon das Scheitern von Safe Harbour initiiert hatte, glaubt jedenfalls, dass das neue Privacy Shield ebenso vom EuGH kassiert werden wird wie sein geistiger Vorläufer: “Das geht hundertprozentig zurück an den EuGH. Wenn ich es nicht mache, macht es jemand anderes.” Doch nochmal von vorne.
Der Kern von Safe Harbour und warum es gekippt wurde
Es hängt ja nicht nur die Frage im Raum, warum Safe Harbour vom EuGH kassiert wurde, sondern auch, ob mit Privacy Shield die einstigen Kritikpunkte überhaupt ausgeräumt werden konnten?
Der Reihe nach: Das Safe-Harbor-Abkommen regelte seit dem Jahr 2000, dass personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA übermittelt werden.
Genauer gesagt: Beide Rechtsräume wurden quasi per Dekret zu sicheren „Häfen“ für personenbezogene Daten erklärt, was aber einer realistischen Betrachtung niemals standhielt. Alleine die Tatsache, dass in der EU das Vorsorgeprinzip – jede Nuance ist im Vorhinein geregelt – in den USA das Nachsorgeprinzip – Maßnahmen werden erst getroffen, wenn ein Schaden im Nachhinein zweifelsfrei festgestellt wurde – gilt, ist nach wie vor ein unmöglich zu überbrückender Gegensatz, der im Übrigen auch TTIP möglicherweise scheitern lassen wird.
Am 6. Oktober 2015 erklärte der EuGH das Safe-Harbor-Abkommen für ungültig, da das Gericht die Achtung des Privatlebens und eines wirksamen gerichtlichen Rechtsschutz verletzt sah. Kraft ihres Amtes kritisierten die Richter die Sinnlosigkeit der Regelung, da die US-amerikanischen Unternehmen, die sich ihr unterworfen hätten, jederzeit und ohne Einschränkung verpflichtet seien, die Schutzregeln unangewendet zu lassen und personenbezogene Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben, „ohne dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.“
Paradigmenwechsel oder Reförmchen?
Der sichere Hafen war wohl doch nicht sicher genug. Doch genau jene festgestellten Makel, sollen nun dank Privacy Shield behoben werden. Wie Safe Harbour stammt auch Privacy Shield aus den Dunkelkammern der EU-Kommission und regelt, unter welchen Umständen ein Unternehmen personenbezogene Daten von EU-Bürgern in die USA übertragen darf. Unternehmen, die sich rechtlich nicht in einer Grauzone bewegen wollen, müssen sich also künftig den Regeln von Privacy Shield unterwerfen – soweit die offizielle Erzählung.
Von Unternehmerseite zeigt man sich – selbstredend – hoch erfreut. Microsofts Vizepräsident John Frank nennt Privacy Shield “eine solide rechtliche Grundlage”. Der deutsche Verband der Internetwirtschaft ECO – also jene Interessenvertretung, die sich zum Ziel gesetzt hat, Technologien zu fördern, Rahmenbedingungen zu gestalten und die Interessen ihrer Mitglieder gegenüber der Politik in nationalen und internationalen Gremien zu vertreten – lässt durchblicken: “Privacy Shield sieht gegenüber dem alten Safe-Harbor-Abkommen ein deutlich höheres Datenschutzniveau vor, das durch verschiedene Mechanismen abgesichert ist und an das auch die Aufsichtsbehörden gebunden sind. Selbst wenn der EuGH hier irgendwann trotzdem Nachbesserungen fordern sollte, besteht nun endlich wieder Rechtssicherheit”.
Die Verbesserungen klingen nach offizieller Lesart in etwa so: Die “Bulk Collection” – also die massenhafte Sammlung und Speicherung von Daten der EU-Bürger durch US-amerikanische Geheimdienste – wird es in Zukunft nicht geben. Das hat die US-Regierung der EU-Kommission sogar schriftlich zugesichert – jedoch mit Einschränkungen, versteht sich. Eine Bulk Collection wird zum Beispiel weiterhin möglich sein, wenn die Überwachung einer Einzelperson nicht möglich sei. Doch immerhin: Die Daten dürfen dann nur ausgewertet werden, falls die “nationale Sicherheit” der USA tangiert wäre – also im Falle von Spionage, Massenvernichtungswaffen, Risiken für das Militär, etc.
Neu ist auch, dass für es jeden EU-Bürger nun die Möglichkeit gibt, sich bei einem unabhängigen Ombudsperson im US-Außenministerium beschweren zu können, um eine „unrechtmäßige Überwachung“ anzuzeigen.
Unternehmen dürfen künftig Daten von EU-Bürgern nur noch so lange speichern, “wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind”.
Außerdem sollen turnusmäßig alle relevanten Entwicklungen in Technik, Recht und Datenverarbeitungspraktiken an Privacy Shield angepasst werden.
Zu guter Letzt wird es im Rahmen von Privacy Shield nun nicht mehr so sein, dass die Kompetenzen der nationalen Datenschutzbehörden beschnitten werden. Soll heißen: Erstmals können sich die Bürger an ihre nationalen Datenschutzbehörden wenden, die dann Beschwerden nachgehen. Unternehmen, die Personaldaten verarbeiten, müssen den Empfehlungen der nationalen Datenschutzbehörden der EU-Mitgliedsstaaten nachkommen, für andere Unternehmen bleibt dieser Schritt nach wie vor freiwillig.
Was dem EU-Bürger bleibt
Eigentlich schön, wenn Politiker und Unternehmer gleichermaßen erfreut sind. Und doch bleibt ein fader Beigeschmack haften: Könnte es sein, dass die Rechte des EU-Bürgers – allen Neuerungen zum Trotz – auf der Strecke bleiben?
Die neuen Einspruchsmöglichkeiten für EU-Bürger sind ja schön und gut, doch was nützen sie, wenn der Ombudsmann in den USA im Grunde machtlos ist? Zumal es überhaupt abwegig erscheint, dass Einzelpersonen, eine “unrechtmäßige Überwachung” von US-Geheimdiensten aus eigener Kraft bemerken.
Nach allem Anschein ändert Privacy Shield im Grunde nichts an der Überwachungspraxis der USA, außer dass jetzt schöne Lippenbekenntnisse niedergeschrieben wurden, die sobald die “nationale Sicherheit” auf dem Spiel steht – berechtigt oder unberechtigt – sowieso nichts gelten.
Kein Wunder, dass auch von Unternehmerseite jegliche Kritik verstummt, bleibt doch eh alles beim Alten, denn: US-Unternehmen müssen sich nur an die Prinzipien von Privacy Shield halten, solange diese mit den US-Gesetzen in Einklang stehen. Im Zweifel gilt also: US-Recht bricht EU-Recht.
Ein Trost bleibt immerhin: Am Ende könnte wie so oft der EuGh stehen. So bleibt dem EU-Bürger die gut begründete Hoffnung, dass das neue Abkommen Privacy Shield, das nicht mal als Reförmchen taugt, in absehbarer Zeit vom EuGH kassiert wird und damit endlich eine Gesetzesnovelle auf den Weg gebracht werden kann, die den Namen Datenschutz auch verdient.