imago/Christian Ohde

Datenschutz für Europäer

Der Hafen USA wird sicherer

von Hendrik Kafsack / 01.03.2016

Mit einer Art Schutzschild will die EU-Kommission den Datenschutz ihrer Bürger in den USA sicherstellen. Ob das dem Europäischen Gerichtshof, der das bisherige „Safe Harbor“-Abkommen gekippt hat, genügt, ist alles andere als sicher.

Die Frist war eigentlich schon abgelaufen, als sich die EU-Kommission mit der amerikanischen Regierung Anfang Februar auf die Grundzüge eines neuen Rahmenabkommens für den Transfer von Daten in die Vereinigten Staaten einigte. Vier Wochen später hat die Kommission am Montag die Details des neuen „EU-US Privacy Shield“ vorgelegt, auf dessen Grundlage Unternehmen wie Amazon, Apple, aber auch viele kleine Firmen künftig wieder persönliche Daten von Europäern in Amerika speichern können sollen – inklusive konkreter Datenschutzzusagen der Regierung in Washington. Diese sichert nicht zuletzt zu, dass ihre Geheimdienste die Daten von EU-Bürgern nicht mehr massenhaft ausspähen. Damit sei die Voraussetzung dafür geschaffen, das Vertrauen zwischen den beiden Seiten wieder herzustellen, sagte die EU-Justizkommissarin Vera Jourová.

Veto vom Gericht

Der Europäische Gerichtshof (EuGH) hatte Anfang Oktober das bisher als Rechtsgrundlage für den Datentransfer dienende „Safe Harbor“-Abkommen gekippt. Die Luxemburger Richter hatten das vor allem damit begründet, dass die Daten nicht ausreichend vor dem Zugriff der Geheimdienste geschützt seien und die EU-Bürger keine ausreichenden Möglichkeiten hätten, gegen den Zugriff auf ihre Daten vorzugehen. Die EU-Datenschutzbehörden hatten der Kommission daraufhin eigentlich bis Ende Januar Zeit gegeben, um ein neues Abkommen auszuhandeln. Die Verhandlungen hatten sich aber als schwierig erwiesen. So waren die Amerikaner nicht bereit, EU-Bürgern einen dem europäischen in jeder Hinsicht vergleichbaren Datenschutz zu garantieren. Deshalb beruht das neue Abkommen stark auf Zusagen der US-Regierung. Immerhin hat diese vergangene Woche sichergestellt, dass EU-Bürger vor US-Gerichten gegen gewisse Datenschutzverstöße vorgehen können.

Entscheidend für den Erfolg des neuen Abkommens dürfte zudem die Rolle sein, die die Europäische Kommission bei der Überwachung der Regeln spielt. So sollen die Unternehmen, die Daten von Europa nach Amerika übertragen, eng kontrolliert werden. Wenn sie sich nicht an die Vorgaben für die Datentransfers halten, soll die Übertragung unterbunden werden. Eben das war auch schon auf Basis des gekippten „Safe Harbor“-Abkommens möglich. Die Kommission hat darauf aber nach dem Inkrafttreten dieses Abkommens 2000 weitgehend verzichtet.

Endgültig im „sicheren Hafen“ sind die Unternehmen, die Daten von EU-Bürgern in die USA transferieren und dort speichern, mit der Veröffentlichung des neuen „Privacy Shield“ noch nicht. Zunächst müssen die EU-Datenschutzbehörden die Texte prüfen. Erst wenn sie sich geäußert und die EU-Staaten zugestimmt haben, kann die Kommission abschließend entscheiden. Das dürfte bis Mitte des Jahres geschehen.

Bis dahin fehlt Unternehmen genau genommen weiter die nötige Rechtsgrundlage für Datentransfers. Betroffen davon sind rund 4.000 Unternehmen. Deshalb hängt viel davon ab, wie flexibel die europäischen Datenschützer damit umgehen. So hat der Hamburger Datenschutzbeauftragte gegen drei Unternehmen ein Verfahren eingeleitet, weil sie das „Safe Harbor“-Abkommen nach wie vor als Rechtsgrundlage für Datenübermittlungen nutzen.

Unabhängig davon ist unsicher, ob das „Privacy Shield“ bei der als sicher geltenden Überprüfung vor dem EuGH Bestand haben wird. Unternehmensvertreter wie Juristen haben große Zweifel.

Wäre eine Begrenzung sinnvoll?

Der EU-Abgeordnete Jan Philipp Albrecht (Grüne) forderte am Montag, das „Privacy Shield“ auf zwei Jahre zu begrenzen – dann treten die Ende des Jahres beschlossenen neuen EU-Datenschutzregeln in Kraft – und danach nachzuverhandeln. Die Gefahr, dass der EuGH auch das „Privacy Shield“ kippt, wird auch in der EU-Kommission als nicht gering eingestuft. Dort verlässt man sich allerdings darauf, dass sich die Richter überzeugen lassen, wenn sich zeigt, dass die Datenschutzzusagen der amerikanischen Regierung belastbar sind. Mehr sei auf jeden Fall nicht herauszuholen gewesen, heißt es in der Kommission.