Das neue Datenschutzabkommen zwischen den USA und der EU wird öffentlich

Kein sicherer Hafen

Ein neues Abkommen zwischen den USA und der EU soll in den USA gespeicherte Daten von EU-Bürgern vor Missbrauch schützen, wenn diese in den USA gespeichert werden. Allerdings wollen die USA nicht darauf verzichten, auch Bürger verbündeter Staaten im Internet zu überwachen.
Von

»Privacy Shield« heißt der Vorschlag und ersetzt das alte »Safe Harbor«-Abkommen, das es bis 2015 ermöglichte, unkompliziert Daten von EU-Bürgern in den USA zu speichern und zu verarbeiten. Darin sicherten die USA für solche Daten ein Mindestmaß an Datenschutz zu. US-Unternehmen, die europäische Daten verarbeiten, mussten erklären, dass sie bestimmte Standards bei der Speicherung und Verarbeitung dieser Daten einhalten. Ob sie das dann auch in der Praxis taten, wurde kaum kontrolliert. Ein solches Abkommen ist ausgesprochen praktisch. Es ermöglicht nicht nur Konzernen wie Facebook und Amazon, Daten von EU-Bürgern in ihren US-Datenbanken zu speichern, sondern auch zahllosen kleinen Firmen in Deutschland und anderen EU-Ländern, Cloud-Dienste und andere Services in den USA zu nutzen – auch für Kunden- und Mitarbeiterdaten. Ohne ein solches Abkommen wäre die geschäftliche Nutzung eines großen Teils amerikanischer Software und vieler mobiler Geräte hierzulande kaum möglich, ohne Datenschutz-Regeln zu verletzen.
Doch jahrelang bestanden Zweifel, ob die US-Firmen wirklich so pfleglich mit den europäischen Daten umgehen. Diese Zweifel konnten nie ausgeräumt werden – aber auch nicht sicher begründet. Das änderte sich schlagartig durch die Enthüllungen Edward Snowdens. Sie belegten nicht nur, dass der amerikansche Geheimdienst NSA weltweit Kommunikation im Internet überwacht, sondern zeigten auch, dass US-Firmen verpflichtet sind, Daten an US-Dienste weiterzureichen. Natürlich vor allem die von Ausländern. Eigentlich ist das ein klarer Bruch des »Safe Harbor«-Abkommens, allerdings änderte sich zunächst wenig.
Zwar hatten die deutschen Datenschutzbeauftragten die Bundesregierung und die EU-Kommission aufgefordert, das »Safe-Harbor«-System zu überprüfen, und teilten mit, dass sie keinen Datenexport in die USA mehr genehmigen würden – an der Praxis von Unternehmen, Daten in den USA zu speichern, änderte das aber zunächst nichts, da es sich um ein Abkommen zwischen der EU und den USA handelt. Es brauchte den österreichischen Juristen Max Schrems, der quasi in Eigenregie einen Musterprozess gegen Facebook am Europäischen Gerichtshof führte und dem Konzern unter anderem vorwarf, persönliche Nutzerdaten nicht vor dem Zugriff der NSA zu schützen. Erst der Richterspruch im Oktober 2015 stellte klar, dass die EU-Kommission nicht einfach die Datenschutzbehörden der Mitgliedsländer übergehen darf, und beerdigte damit »Safe Harbor« endgültig.
Am Alltagsbetrieb von Facebook, Google und Co. änderte auch das zunächst kaum etwas. Europäische Firmen, die den Datenschutz ignorieren und weiterhin Daten in den USA speichern, haben weiterhin wenig zu befürchten – nicht nur weil bis zum 1. Februar eine Übergangsregelung galt. Vor allem sind die Datenschutzbehörden notorisch unterbesetzt und haben oft nur eingeschränkte Befugnisse. Aber weitere Klagen, insbesondere gegen größere Konzerne, und daraus folgende Bußgelder sind nur noch eine Frage der Zeit. So hat die französische Datenschutzbehörde CNIL Facebook Anfang Februar abgemahnt und eine Frist von drei Monaten gesetzt, um europäische Datenschutzstandards einzuhalten. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat Ende Februar Bußgeldverfahren gegen mehrere Firmen in der Hansestadt eingeleitet: wegen »gewerblichen Datenverkehrs in die USA«
Um die ungeregelte Situation zu beenden, verhandelt die EU-Kommission mit dem US-Handelsministerium nun unter Hochdruck ein zweites »Safe Harbor«, das noch diesen Sommer in Kraft treten soll. Neuer Name: »Privacy Shield«.
Das Abkommen sieht vor, dass US-Unternehmen Datenschutzregeln einhalten, die denen der EU »angemessen« sind, und regelmäßig einen Transparenzbericht veröffentlichen. Außerdem sollen sie Anfragen von Bürgern innerhalb von 45 Tagen beantworten. Die Handelsaufsicht FTC will strenger kontrollieren, ob US-Unternehmen diese Regeln auch einhalten. Wenn nicht, drohen den Unternehmen Sanktionen bis hin zum Ausschluss vom »Privacy Shield«, während EU-Bürgern eine Beschwerde bei einem kostenlosen Schiedsgericht oder den Datenschutzbehörden ihres Landes offen steht. Sollte das Abkommen so umgesetzt werden, wäre das tatsächlich eine erhebliche Verbesserung für den Datenschutz von EU-Bürgern – allerdings nur gegenüber Firmen.
Mit der Überwachung durch Geheimdienste sieht es anders aus, obwohl genau das der urspüngliche Grund für das Urteil des EuGH war. Dazu sagt die EU-Kommission, dass es »keine anlasslose oder massenhafte Überwachung durch die nationalen Sicherheitsbehörden geben wird«, während im Text das Gegenteil steht.
US-Behörden dürfen weiterhin Datenverkehr massenhaft abhören, sobald es um beispielsweise um Terrorismusbekämpfung, Spionageabwehr oder »internationale kriminelle Bedrohungen« geht. Es wird sich nichts daran ändern, dass US-Behörden Hintertüren zu Computern verlangen oder Internet-Firmen dazu drängen, ihnen Daten von Nutzern auszuhändigen. Immerhin soll im US-Ministerium eine Ombudsstelle geschaffen werden, an die sich EU-Bürger wenden können.
Während die Datenschutzbehörden in den EU-Ländern noch an ihren Stellungnahmen arbeiten, sieht Max Schrems in »Privacy Shield« nur »Behübschungen«. Jan Philipp Albrecht (Grüne) bezeichnet das Abkommen als Witz, Cornelia Ernst (Linke) spricht von »leeren Versprechungen« und Birgit Sippel (SPD) hält ein erneutes Scheitern des Abkommens vor dem EuGH für wahrscheinlich. Die CDU hingegen hält sich bedeckt. Auffällig ist eine Aussage von Angela Merkel. Auf dem IT-Gipfel im November sagte sie, Datenschutz dürfe Big Data und die IT-Industrie nicht ausbremsen. Sie unterstützt Pläne der EU, grundsätzliche Prinzipien des Datenschutzes aufzuweichen – unter anderem die Zweckbindung, wonach Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden. So dürfen Versandhäuser beispielsweise die Adressen ihrer Kunden nur verwenden, um ihnen bestellte Ware zu liefern, nicht jedoch für Werbung. Es sei denn, ein Kunde erteilt eine Erlaubnis, die im Kleingedruckten regelmäßig abverlangt wird. Sollte demnächst das Datenschutzniveau in der EU abgesenkt werden, lohnt es sich natürlich nicht, allzu hart mit den USA zu verhandeln.
Beide Verhandlungspartner wollen künftig einen jährlichen Datenschutzgipfel abhalten. Dort soll das Abkommen laufend weiter geprüft und angepasst werden. Bis dahin dient »Privacy Shield« in seiner derzeitigen Fassung wohl eher, um EU-Unternehmen wieder Rechtssicherheit bei der Datenverarbeitung in Übersee zu gewährleisten.