Das Öl des 21. Jahrhunderts, wie ein Bericht des Weltwirtschaftsforums es nannte, es fließt nicht zäh – sondern rasend schnell: Daten sind für die digitale Wirtschaft das, was für die Industrialisierung erst die Kohle, dann das Öl war. Wer vom Smartphone eine E-Mail sendet, auf Facebook chattet, online Pizza bestellt oder Fotos verwaltet, weiß nur eines mit Sicherheit: Daten werden verarbeitet. Doch wo, wie und durch wen genau, das ist für den Endnutzer nicht zu erkennen.
Viele der großen Digitalkonzerne sitzen in den USA. Und fast alle anderen betreiben dort Tochterfirmen. Aber ob zum Beispiel in einem Rechenzentrum in Deutschland, Dänemark oder Delaware Daten gespeichert werden, das ist selbst für Experten kaum mehr nachvollziehbar.
Genau deshalb gibt es in der EU Rechtsbestimmungen, die die Verarbeitung personenbezogener Daten regeln sollen, ohne dass jeder einzelne jeden Schritt prüfen muss. Diese europäischen Regeln sind auch dann wichtig, wenn Daten aus der EU in andere Teile der Welt übertragen und dort verarbeitet werden sollen. Nicht identisch, aber vergleichbar müssen nach Europäischem Recht die Regelungen bei der Verarbeitung in einem Nicht-EU-Staat sein – nicht in der Form, aber in ihrer Wirkung. Doch sind sie das auch?
Nach den Enthüllungen rund um die Arbeit der Nachrichtendienste, ausgelöst von Edward Snowden im Jahr 2013, wurden die Regeln für den Datenfluss in die USA überprüft. Der Österreicher Max Schrems verklagte zunächst einmal die irische Datenschutzaufsicht, die für Facebook zuständig ist, vor dem höchsten irischen Gericht – das seinerseits den Europäischen Gerichtshof anrief. Zwei Punkte standen für Schrems im Mittelpunkt:
Viele der großen Digitalkonzerne sitzen in den USA. Und fast alle anderen betreiben dort Tochterfirmen. Aber ob zum Beispiel in einem Rechenzentrum in Deutschland, Dänemark oder Delaware Daten gespeichert werden, das ist selbst für Experten kaum mehr nachvollziehbar.
Genau deshalb gibt es in der EU Rechtsbestimmungen, die die Verarbeitung personenbezogener Daten regeln sollen, ohne dass jeder einzelne jeden Schritt prüfen muss. Diese europäischen Regeln sind auch dann wichtig, wenn Daten aus der EU in andere Teile der Welt übertragen und dort verarbeitet werden sollen. Nicht identisch, aber vergleichbar müssen nach Europäischem Recht die Regelungen bei der Verarbeitung in einem Nicht-EU-Staat sein – nicht in der Form, aber in ihrer Wirkung. Doch sind sie das auch?
Nach den Enthüllungen rund um die Arbeit der Nachrichtendienste, ausgelöst von Edward Snowden im Jahr 2013, wurden die Regeln für den Datenfluss in die USA überprüft. Der Österreicher Max Schrems verklagte zunächst einmal die irische Datenschutzaufsicht, die für Facebook zuständig ist, vor dem höchsten irischen Gericht – das seinerseits den Europäischen Gerichtshof anrief. Zwei Punkte standen für Schrems im Mittelpunkt:
"Nämlich die Frage, was dürfen eigentlich US-Unternehmen mit europäischen Daten tun? Müssen die sich an die gleichen Regeln halten, wie europäische Unternehmen, wenn sie bei uns am Markt sein wollen? Und gleichzeitig die Frage zu stellen zur US-Massenüberwachung, wie das funktioniert und ob das mit Grundrechten in Europa vereinbar sein kann."
Privacy Shield als Nachfolgeregelung für den Datentransfer in die USA
Die Rechtslage in den Vereinigten Staaten hat immer wieder zum Streit mit europäischen Datenschützern geführt. Vor 15 Jahren kam es zu einer Vereinbarung: Ein sicherer Hafen für Daten von EU-Bürgern sollte geschaffen werden – die sogenannte Safe-Harbor-Vereinbarung. Dieser "Sichere Hafen" – er war das eigentliche Ziel der Schrems-Klage.
Eine grundlegende Weichenstellung sei es, was die Luxemburger Richter dann 2015 entschieden hätten, sagt Andrea Voßhoff:
"Indem der Europäische Gerichtshof dem Grunde nach gesagt hat, dass europäisches Grundrecht, ich sag mal, wenn ich schon den Begriff Safe Harbor nehme, mitsegelt an der Stelle und deshalb das Safe-Harbor-Abkommen für nichtig erklärt hat, weil es sagt, dass die EU-Kommission, die diese Grundlage Safe-Harbor-Abkommen verabschiedet hat, nicht geprüft hat, ob und in welcher Weise europäischer Grundrechtsschutz mitsegelt. Und deshalb diese Entscheidung für nichtig erklärt hat. Weshalb wir nun eine Situation haben, dass für den Datentransfer in die USA auf der Basis von Safe Harbor eine Nachfolgeregelung gefunden werden muss."
Voßhoff ist seit 2013 Bundesdatenschutzbeauftragte; mitten in der Debatte rund um die Methoden der US-, aber auch der britischen und der deutschen Nachrichtendienste wurde die ehemalige CDU-Abgeordnete vom Bundestag gewählt.
Eine grundlegende Weichenstellung sei es, was die Luxemburger Richter dann 2015 entschieden hätten, sagt Andrea Voßhoff:
"Indem der Europäische Gerichtshof dem Grunde nach gesagt hat, dass europäisches Grundrecht, ich sag mal, wenn ich schon den Begriff Safe Harbor nehme, mitsegelt an der Stelle und deshalb das Safe-Harbor-Abkommen für nichtig erklärt hat, weil es sagt, dass die EU-Kommission, die diese Grundlage Safe-Harbor-Abkommen verabschiedet hat, nicht geprüft hat, ob und in welcher Weise europäischer Grundrechtsschutz mitsegelt. Und deshalb diese Entscheidung für nichtig erklärt hat. Weshalb wir nun eine Situation haben, dass für den Datentransfer in die USA auf der Basis von Safe Harbor eine Nachfolgeregelung gefunden werden muss."
Voßhoff ist seit 2013 Bundesdatenschutzbeauftragte; mitten in der Debatte rund um die Methoden der US-, aber auch der britischen und der deutschen Nachrichtendienste wurde die ehemalige CDU-Abgeordnete vom Bundestag gewählt.
Der Handel ist global - das Datenschutzrecht nicht
Dass eine Lösung gefunden wird, ist auch Josh Kallmer wichtig. Der Vizepräsident des Information Technology Industry Council, das seit 100 Jahren im Bereich der Technologiepolitik lobbyiert und weltweit große, neue und alte IT-Unternehmen wie Adobe, Toyota, Lenovo und Visa vertritt, sagt:
"Es wird eine Lösung geben. In gewisser Weise muss es eine geben, weil es eine so große Notwendigkeit gibt. Es geht nicht nur um Endkundendaten, die sind natürlich wichtig. Aber es ist auch ein großer Teil interner Datenflüsse von Unternehmen oder im Business-zu-Business-Bereich, was die Blutbahnen des globalen Handels sind."
Der Handel ist global – das Datenschutzrecht nicht. Und auch mit dem gegenseitigen Verständnis hakt es manchmal:
"Ich denke, eines der Hauptprobleme in Europa, aber ehrlicherweise gesagt auch in den USA, ist, dass häufig nicht verstanden wird, wie der Datenschutz in den USA funktioniert."
Julie Brill war sechs Jahre lang die zuständige Kommissarin der Federal Trade Commission, der Verbraucherschutzbehörde, die in den USA auch für die Durchsetzung der alten Safe-Harbor-Vereinbarung zuständig war. Während in Europa in den vergangenen Jahren intensiv an einer weitgehenden Vereinheitlichung des Datenschutzrechts gearbeitet wurde, gibt es in den USA einen anderen Ansatz.
Die Daten der Betroffenen werden auf Bundesebene dann rechtlich stark geschützt, wenn sie für besonders kritisch erachtet werden – zum Beispiel Gesundheits- oder Finanzdaten. Hinzu kommt eine Vielzahl an Gesetzen, die auf Einzelstaatsebene erlassen werden. Julie Brill sieht das US-Recht so:
"Es ist schwer verständlich, kompliziert und schwer zu erklären, aber es ist keine lockerere Regulierung als die in Deutschland oder anderswo. Die Durchsetzung in den Vereinigten Staaten ist, wenn es um den Schutz der Privatsphäre, Datenschutz und Datensicherheit geht, meiner Meinung nach viel besser als in Europa."
"Es wird eine Lösung geben. In gewisser Weise muss es eine geben, weil es eine so große Notwendigkeit gibt. Es geht nicht nur um Endkundendaten, die sind natürlich wichtig. Aber es ist auch ein großer Teil interner Datenflüsse von Unternehmen oder im Business-zu-Business-Bereich, was die Blutbahnen des globalen Handels sind."
Der Handel ist global – das Datenschutzrecht nicht. Und auch mit dem gegenseitigen Verständnis hakt es manchmal:
"Ich denke, eines der Hauptprobleme in Europa, aber ehrlicherweise gesagt auch in den USA, ist, dass häufig nicht verstanden wird, wie der Datenschutz in den USA funktioniert."
Julie Brill war sechs Jahre lang die zuständige Kommissarin der Federal Trade Commission, der Verbraucherschutzbehörde, die in den USA auch für die Durchsetzung der alten Safe-Harbor-Vereinbarung zuständig war. Während in Europa in den vergangenen Jahren intensiv an einer weitgehenden Vereinheitlichung des Datenschutzrechts gearbeitet wurde, gibt es in den USA einen anderen Ansatz.
Die Daten der Betroffenen werden auf Bundesebene dann rechtlich stark geschützt, wenn sie für besonders kritisch erachtet werden – zum Beispiel Gesundheits- oder Finanzdaten. Hinzu kommt eine Vielzahl an Gesetzen, die auf Einzelstaatsebene erlassen werden. Julie Brill sieht das US-Recht so:
"Es ist schwer verständlich, kompliziert und schwer zu erklären, aber es ist keine lockerere Regulierung als die in Deutschland oder anderswo. Die Durchsetzung in den Vereinigten Staaten ist, wenn es um den Schutz der Privatsphäre, Datenschutz und Datensicherheit geht, meiner Meinung nach viel besser als in Europa."
Unternehmen können sich den Datenschutzregeln des Shields freiwillig unterwerfen
Brill hat über Jahre immer wieder in Europa das US-System erklärt. Geholfen hat es vor dem Europäischen Gerichtshof nur begrenzt. Ein bisschen enttäuscht wirkt sie darüber. Doch am Ende hätten auch die US-Datenschutzgesetze kaum geholfen. Denn seit den Snowden-Enthüllungen ist klar, dass die US-Sicherheitsbehörden bei Anbietern aus den Vereinigten Staaten nicht nur die Befugnis zum Zugriff haben. Sondern diesen auch durchführen – und dass bislang EU-Bürger davor kaum geschützt waren. Ein Grund, warum der Europäische Gerichtshof die Safe-Harbor-Vereinbarung* im Oktober vergangenen Jahres für ungültig erklärte.
Damit begann die Uhr zu ticken: Die Datenschutzbeauftragten der 28 EU-Staaten hatten der Kommission eine Frist gesetzt, bis Ende Januar ein neues Abkommen mit den USA für die Übermittlung personenbezogener Daten zu schließen. Seit Januar verfolgen Datenschutzbeauftragte in Europa Datenübertragungen, die noch nach dem alten Safe-Harbor-Regime stattfinden und verhängen Bußgelder.
Am zweiten Februar stellte Justizkommissarin Věra Jourová dann in Brüssel den neuen Deal vor: das EU-US-Privacy-Shield, also der "Privatsphären-Schutzschild":
"Dieser neue Rahmen für den transatlantischen Datenverkehr schützt die Grundrechte der Europäer und bietet Rechtssicherheit für die Unternehmen. Das Abkommen erfüllt die Anforderungen des Europäischen Gerichtshofes."
Wie bei Safe Harbor können sich Unternehmen den Datenschutzregeln des Shields freiwillig unterwerfen. So sollen zum Beispiel Daten nur für den ursprünglichen Zweck ihrer Erhebung verwendet und vor unbefugtem Zugriff geschützt werden. Die Unternehmen müssen auf Nachfrage informieren, welche Daten sie von einer Person gespeichert haben. Halten sie diese und weitere Regeln ein, steht einer Übermittlung personenbezogener Daten in die USA nichts im Wege.
Damit begann die Uhr zu ticken: Die Datenschutzbeauftragten der 28 EU-Staaten hatten der Kommission eine Frist gesetzt, bis Ende Januar ein neues Abkommen mit den USA für die Übermittlung personenbezogener Daten zu schließen. Seit Januar verfolgen Datenschutzbeauftragte in Europa Datenübertragungen, die noch nach dem alten Safe-Harbor-Regime stattfinden und verhängen Bußgelder.
Am zweiten Februar stellte Justizkommissarin Věra Jourová dann in Brüssel den neuen Deal vor: das EU-US-Privacy-Shield, also der "Privatsphären-Schutzschild":
"Dieser neue Rahmen für den transatlantischen Datenverkehr schützt die Grundrechte der Europäer und bietet Rechtssicherheit für die Unternehmen. Das Abkommen erfüllt die Anforderungen des Europäischen Gerichtshofes."
Wie bei Safe Harbor können sich Unternehmen den Datenschutzregeln des Shields freiwillig unterwerfen. So sollen zum Beispiel Daten nur für den ursprünglichen Zweck ihrer Erhebung verwendet und vor unbefugtem Zugriff geschützt werden. Die Unternehmen müssen auf Nachfrage informieren, welche Daten sie von einer Person gespeichert haben. Halten sie diese und weitere Regeln ein, steht einer Übermittlung personenbezogener Daten in die USA nichts im Wege.
"Es geht um Vertrauen und Kontrolle"
Das gilt für Unternehmen. Doch was ist mit dem massenhaften Zugriff durch US-Geheimdienste? Dieser soll nur noch unter ganz bestimmten Voraussetzungen, strenger Aufsicht und in begrenztem Umfang möglich sein, sagt die Kommission. Von US-Seite gibt es schriftliche Zusicherungen – von der US-Regierung.
"Wir müssen vertrauen und wir müssen uns auf sie verlassen. Denn sie sind außerhalb unserer rechtlichen Zuständigkeit. Ich habe auf amerikanischem Boden keine Kompetenzen. Was sollen wir sonst tun? Es geht um Vertrauen und Kontrolle."
Kontrolle soll es auf zwei Wegen geben. Erstens haben die USA zugesichert, EU-Bürgern den Rechtsweg zu ermöglichen: Werden die Rechte von EU-Bürgern verletzt, können diese sich zunächst an die betreffenden Unternehmen wenden. Gibt es keine Einigung, soll ein kostenloses Schiedsverfahren sich des Falles annehmen. Als letzte Instanz, auch im Fall von staatlichen Zugriffen auf persönliche Daten, soll eine Ombudsperson aktiv werden und den Beschwerden nachgehen.
Zweitens will die Kommission jedes Jahr überprüfen, ob sich die USA und die Unternehmen an die Vereinbarungen des Privacy Shield halten:
"Wir werden viele verschiedene Informationsquellen über die Situation in den USA nutzen, wie dort mit den Daten der EU-Bürger umgegangen wird. Denn das wird ein fortlaufender Prozess sein. Jedes Jahr werden wir genug Hintergrundinformationen erhalten, um zu entscheiden, ob wir mit dem Privacy Shield fortfahren oder ihn außer Kraft setzen."
Eine Sorge der Kritiker: Bleiben die Zusicherungen erhalten, wenn ein anderer Präsident, eine andere Präsidentin ins Weiße Haus einzieht? Die ehemalige FTC-Kommissarin Julie Brill sagt, auch Safe Harbor habe 15 Jahre lang existiert – unabhängig vom Präsidenten.
"Wir müssen vertrauen und wir müssen uns auf sie verlassen. Denn sie sind außerhalb unserer rechtlichen Zuständigkeit. Ich habe auf amerikanischem Boden keine Kompetenzen. Was sollen wir sonst tun? Es geht um Vertrauen und Kontrolle."
Kontrolle soll es auf zwei Wegen geben. Erstens haben die USA zugesichert, EU-Bürgern den Rechtsweg zu ermöglichen: Werden die Rechte von EU-Bürgern verletzt, können diese sich zunächst an die betreffenden Unternehmen wenden. Gibt es keine Einigung, soll ein kostenloses Schiedsverfahren sich des Falles annehmen. Als letzte Instanz, auch im Fall von staatlichen Zugriffen auf persönliche Daten, soll eine Ombudsperson aktiv werden und den Beschwerden nachgehen.
Zweitens will die Kommission jedes Jahr überprüfen, ob sich die USA und die Unternehmen an die Vereinbarungen des Privacy Shield halten:
"Wir werden viele verschiedene Informationsquellen über die Situation in den USA nutzen, wie dort mit den Daten der EU-Bürger umgegangen wird. Denn das wird ein fortlaufender Prozess sein. Jedes Jahr werden wir genug Hintergrundinformationen erhalten, um zu entscheiden, ob wir mit dem Privacy Shield fortfahren oder ihn außer Kraft setzen."
Eine Sorge der Kritiker: Bleiben die Zusicherungen erhalten, wenn ein anderer Präsident, eine andere Präsidentin ins Weiße Haus einzieht? Die ehemalige FTC-Kommissarin Julie Brill sagt, auch Safe Harbor habe 15 Jahre lang existiert – unabhängig vom Präsidenten.
Die Wirtschaft braucht dringend ein neues Datenschutzabkommen
Vor allem die Wirtschaft setzt auf den neuen Privacy Shield. Christian Borggreen arbeitet in Brüssel für die CCIA, den Verband der Computer- und Kommunikationsindustrie. Dem CCIA gehören die großen Internetkonzerne wie Google, Amazon, Ebay und Facebook an.
"Wenn wir keine Daten aus Europa in die Welt transferieren können, wird die Wirtschaft hier abstürzen, vielleicht sogar zurück in die Rezession. Datentransfers in die Welt sind extrem wichtig."
Und das nicht nur für die großen Internetkonzerne. Auch Firmen wie Adidas, BASF oder Siemens hätten vom alten Safe Harbor Gebrauch gemacht. Ein Nachfolgeabkommen sei unbedingt notwendig:
"Es gibt dazu keine Alternative. Man muss sich ans Gesetz halten. Nun wurden die Anforderungen an Unternehmen verschärft. Das ist der Preis, den man zahlen muss, will man Daten transferieren. Und das ist in Ordnung. Was auch dazu gehört: Wenn man sich nicht an die Gesetze hält, dann wird die US-Regierung sie vor Gericht stellen und hart bestrafen. Und so sollte es sein. Man muss sich an die Gesetze halten."
"Wenn wir keine Daten aus Europa in die Welt transferieren können, wird die Wirtschaft hier abstürzen, vielleicht sogar zurück in die Rezession. Datentransfers in die Welt sind extrem wichtig."
Und das nicht nur für die großen Internetkonzerne. Auch Firmen wie Adidas, BASF oder Siemens hätten vom alten Safe Harbor Gebrauch gemacht. Ein Nachfolgeabkommen sei unbedingt notwendig:
"Es gibt dazu keine Alternative. Man muss sich ans Gesetz halten. Nun wurden die Anforderungen an Unternehmen verschärft. Das ist der Preis, den man zahlen muss, will man Daten transferieren. Und das ist in Ordnung. Was auch dazu gehört: Wenn man sich nicht an die Gesetze hält, dann wird die US-Regierung sie vor Gericht stellen und hart bestrafen. Und so sollte es sein. Man muss sich an die Gesetze halten."
Kritische Stimmen aus der deutschen Wirtschaft
Die Kommission habe mit dem neuen Privacy Shield einen guten Deal ausgehandelt, findet Borggreen. Allerdings gibt es auch kritischere Stimmen aus der Wirtschaft – nicht zuletzt von der deutschen. Der Konzerndatenschutzbeauftragte der Deutschen Telekom, Claus-Dieter Ulmer, sagt:
"Wir haben weiterhin Regelungen drin, dass Daten weitergegeben werden dürfen oder für wesentlich andere Zwecke verwendet werden dürfen und der Betroffene nur informiert wird, und ein Opt-Out, also einen Widerspruch einlegen muss, das ist keine wesentliche Verbesserung gegenüber früher."
Ein Grund – aber nicht der Hauptgrund, warum er die Privacy-Shield-Vereinbarung skeptisch sieht. Für ihn ist klar:
"Wenn‘s Unsicherheiten gibt im Zusammenhang mit dem Privacy Shield, werden wir das nicht zur Anwendung bringen bei uns."
Ulmer setzt auf andere Mechanismen: Wo Daten überhaupt in andere Länder außerhalb der EU transferiert werden, werden zum Beispiel von der Telekom Standardvertragsklauseln und verbindliche Unternehmensregelungen genutzt, eine rechtliche Alternative, die den Datentransfer ermöglicht. Doch auch die ist umstritten – und wird vor dem Europäischen Gerichtshof ebenfalls geprüft. Doch Ulmer ist skeptisch, dass der neue Privacy Shield ausreichend Schutz bietet, um den Unternehmen wirkliche Rechtssicherheit zu bieten:
"Das, meine ich, ist selbstverständlich, dass es nicht auf Zustimmung stößt. Weil es eben referenziert auf eine Rechtslage und auf Aussagen, die zum Großteil schon getroffen wurden, bevor Safe Harbor schon für unwirksam erklärt wurde. Und warum sollen diese Aussagen jetzt mehr Wirksamkeit haben, weil sie noch einmal wiederholt werden."
"Wir haben weiterhin Regelungen drin, dass Daten weitergegeben werden dürfen oder für wesentlich andere Zwecke verwendet werden dürfen und der Betroffene nur informiert wird, und ein Opt-Out, also einen Widerspruch einlegen muss, das ist keine wesentliche Verbesserung gegenüber früher."
Ein Grund – aber nicht der Hauptgrund, warum er die Privacy-Shield-Vereinbarung skeptisch sieht. Für ihn ist klar:
"Wenn‘s Unsicherheiten gibt im Zusammenhang mit dem Privacy Shield, werden wir das nicht zur Anwendung bringen bei uns."
Ulmer setzt auf andere Mechanismen: Wo Daten überhaupt in andere Länder außerhalb der EU transferiert werden, werden zum Beispiel von der Telekom Standardvertragsklauseln und verbindliche Unternehmensregelungen genutzt, eine rechtliche Alternative, die den Datentransfer ermöglicht. Doch auch die ist umstritten – und wird vor dem Europäischen Gerichtshof ebenfalls geprüft. Doch Ulmer ist skeptisch, dass der neue Privacy Shield ausreichend Schutz bietet, um den Unternehmen wirkliche Rechtssicherheit zu bieten:
"Das, meine ich, ist selbstverständlich, dass es nicht auf Zustimmung stößt. Weil es eben referenziert auf eine Rechtslage und auf Aussagen, die zum Großteil schon getroffen wurden, bevor Safe Harbor schon für unwirksam erklärt wurde. Und warum sollen diese Aussagen jetzt mehr Wirksamkeit haben, weil sie noch einmal wiederholt werden."
EU-Datenschutzbeauftragte fordern erhebliche Nachbesserungen
Auch die EU-Datenschutzbeauftragten haben sich en détail mit dem Privacy Shield auseinandergesetzt. Prinzipiell verbessere sich der Schutz personenbezogener Daten im Vergleich zu Safe Harbor, so der Befund der Experten:
"Dort sind viele Regelungen enthalten, die hätte am Anfang der Diskussion kaum einer für möglich gehalten. Dass die Amerikaner in dieser Weise auch die Erkenntnis gewonnen haben, wie notwendig es ist, die Vorgaben des europäischen Gerichthofes umzusetzen", meint Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz. Ein deutliches Signal sei das:
"Es ist ein guter Weg, der dort begonnen wird. Aber er reicht eben nicht."
Die EU-Datenschutzbeauftragten forderten erhebliche Nachbesserungen: Die Zweckbindung bei der Verarbeitung von Daten sei unklar geregelt und somit dieser Kernpunkt des Datenschutzes nicht angemessen berücksichtigt. Die Zusicherungen der US-Geheimdienste, um massenhafte Überwachung auszuschließen, seien ungenügend. Außerdem zweifeln die Datenschützer an der Unabhängigkeit der Ombudsperson, die von US-Seite kommend die Interessen der EU-Bürger vertreten soll. Insgesamt, so Voßhoff, gelte:
"Mal unterstellt, es blieben Kernkritikpunkte der Datenschützer, dann gibt es natürlich auch die Möglichkeit, Rechtsmittel einzulegen. Leider nicht für die Datenschutzaufsichtsbehörden, zumindest nicht für meine."
Allerdings liegt es im Interesse der EU-Kommission, auf die Kritik einzugehen. Schließlich will sie, nachdem der Termin dafür mehrfach verschoben wurde, in allernächster Zeit die so genannte Adäquanzentscheidung treffen: die formale Feststellung, dass mit dem Privacy Shield ein angemessener Schutz der EU-Daten in den USA gewährleistet wird.
"Dort sind viele Regelungen enthalten, die hätte am Anfang der Diskussion kaum einer für möglich gehalten. Dass die Amerikaner in dieser Weise auch die Erkenntnis gewonnen haben, wie notwendig es ist, die Vorgaben des europäischen Gerichthofes umzusetzen", meint Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz. Ein deutliches Signal sei das:
"Es ist ein guter Weg, der dort begonnen wird. Aber er reicht eben nicht."
Die EU-Datenschutzbeauftragten forderten erhebliche Nachbesserungen: Die Zweckbindung bei der Verarbeitung von Daten sei unklar geregelt und somit dieser Kernpunkt des Datenschutzes nicht angemessen berücksichtigt. Die Zusicherungen der US-Geheimdienste, um massenhafte Überwachung auszuschließen, seien ungenügend. Außerdem zweifeln die Datenschützer an der Unabhängigkeit der Ombudsperson, die von US-Seite kommend die Interessen der EU-Bürger vertreten soll. Insgesamt, so Voßhoff, gelte:
"Mal unterstellt, es blieben Kernkritikpunkte der Datenschützer, dann gibt es natürlich auch die Möglichkeit, Rechtsmittel einzulegen. Leider nicht für die Datenschutzaufsichtsbehörden, zumindest nicht für meine."
Allerdings liegt es im Interesse der EU-Kommission, auf die Kritik einzugehen. Schließlich will sie, nachdem der Termin dafür mehrfach verschoben wurde, in allernächster Zeit die so genannte Adäquanzentscheidung treffen: die formale Feststellung, dass mit dem Privacy Shield ein angemessener Schutz der EU-Daten in den USA gewährleistet wird.
Kritik an der Rolle der Ombudsperson im Privacy Shield
Deshalb hat die Kommission den Privacy-Shield-Entwurf nachgebessert: Unternehmen müssten Daten löschen, die nicht mehr ihrem ursprünglichen Zweck dienten; die massenhafte Sammlung von Daten finde nur noch unter bestimmten Bedingungen statt und müsse so gezielt wie möglich durchgeführt werden. Zwar wollte die Kommission ursprünglich eine EU-Ombudsperson einsetzen, ausgestattet mit Ermittlungsbefugnissen in den USA. Aber damit konnten sich die Europäer in den Verhandlungen gegenüber den USA nicht durchsetzen. Doch würden, so die Kommission, zumindest die Befugnisse der Ombudsperson erweitert.
Frederik Borgesius traut diesen Zusagen nicht. Der Experte für Informationsrecht an der Universität Amsterdam hat die Rolle der Ombudsperson im Privacy Shield genau analysiert:
"Die Ombudsperson ist zwar sehr wichtig, scheint aber nicht genug Befugnisse zu haben, um eigene Untersuchungen anzustellen und ist nicht völlig unabhängig. Wir halten es für sehr wichtig, dass Datenschutzbeauftragte völlig unabhängig sind."
Im Vergleich zu Safe Harbor bringe der Privacy Shield zwar einige Verbesserungen, wie die regelmäßigen Überprüfungen und größere Transparenz. Aber in der Summe, sagt Borgesius, werde damit kein vergleichbarer Datenschutz hergestellt. Julie Brill sieht das anders. Die Ombudsperson würde mit enormen Kompetenzen ausgestattet, auch wenn sie ans US-Außenministerium angegliedert würde:
"Dieser Weg wird nur Europäern offen stehen. Es wird ihn für US-Bürger nicht geben. Sie können dann, über die Ombudsperson, herausfinden oder versuchen, an Informationen zu gelangen, was die Amerikanischen Geheimdienste in Bezug auf Ihre Daten machen."
Frederik Borgesius traut diesen Zusagen nicht. Der Experte für Informationsrecht an der Universität Amsterdam hat die Rolle der Ombudsperson im Privacy Shield genau analysiert:
"Die Ombudsperson ist zwar sehr wichtig, scheint aber nicht genug Befugnisse zu haben, um eigene Untersuchungen anzustellen und ist nicht völlig unabhängig. Wir halten es für sehr wichtig, dass Datenschutzbeauftragte völlig unabhängig sind."
Im Vergleich zu Safe Harbor bringe der Privacy Shield zwar einige Verbesserungen, wie die regelmäßigen Überprüfungen und größere Transparenz. Aber in der Summe, sagt Borgesius, werde damit kein vergleichbarer Datenschutz hergestellt. Julie Brill sieht das anders. Die Ombudsperson würde mit enormen Kompetenzen ausgestattet, auch wenn sie ans US-Außenministerium angegliedert würde:
"Dieser Weg wird nur Europäern offen stehen. Es wird ihn für US-Bürger nicht geben. Sie können dann, über die Ombudsperson, herausfinden oder versuchen, an Informationen zu gelangen, was die Amerikanischen Geheimdienste in Bezug auf Ihre Daten machen."
EU-Mitgliedsstaaten müssen dem Privacy Shield noch zustimmen
Einer jedenfalls bleibt unzufrieden, auch nach den letzten Nachbesserungen am Privacy Shield, die vor wenigen Tagen den Mitgliedstaaten zur Zustimmung übersandt wurden. Max Schrems findet, grundsätzlich hätten den Unternehmen deutlich striktere Regeln auferlegt werden können:
"Im Kern geht es auf die Sache raus, dass da so viele Schlupflöcher sind, dass ich zwar ein Schlupfloch dichtmachen kann, aber indem ich einfach in einem anderen Schlupfloch wieder raus husche, bringt mir diese ganze Regelung nichts."
Schrems‘ Hauptkritik aber richtet sich gegen den Zugriff der Geheimdienste: Die USA definierten massenhafte Datenspeicherung, die anschließend gezielt ausgewertet werde, nicht als Massenüberwachung. Damit könne eine Vorratsdatenspeicherung, wie wir sie auch in Deutschland kennen, stattfinden, fürchtet Schrems. In sechs Fällen bliebe die massenhafte Datenauswertung weiter möglich:
"Das ist zum Beispiel alles, was sie als ‚international crime‘ sehen, schon relevant. Das heißt, meine Daten können ausgewertet werden, wenn sie relevant sind, um insgesamt international crime irgendwie zu tackeln."
"Im Kern geht es auf die Sache raus, dass da so viele Schlupflöcher sind, dass ich zwar ein Schlupfloch dichtmachen kann, aber indem ich einfach in einem anderen Schlupfloch wieder raus husche, bringt mir diese ganze Regelung nichts."
Schrems‘ Hauptkritik aber richtet sich gegen den Zugriff der Geheimdienste: Die USA definierten massenhafte Datenspeicherung, die anschließend gezielt ausgewertet werde, nicht als Massenüberwachung. Damit könne eine Vorratsdatenspeicherung, wie wir sie auch in Deutschland kennen, stattfinden, fürchtet Schrems. In sechs Fällen bliebe die massenhafte Datenauswertung weiter möglich:
"Das ist zum Beispiel alles, was sie als ‚international crime‘ sehen, schon relevant. Das heißt, meine Daten können ausgewertet werden, wenn sie relevant sind, um insgesamt international crime irgendwie zu tackeln."
"Ein schmutziger Kompromiss könnte die einzige Möglichkeit bleiben"
Auch Věra Jourová, die EU-Justizkommissarin, kann einen Missbrauch nicht grundsätzlich ausschließen:
"Es wird immer das Argument geben, die nationale Sicherheit zu schützen. Und man wird immer grundsätzlich argumentieren, denn, wenn man nach dem konkreten Fall fragt, bekommt man keine Informationen. Das ist das Risiko."
Aber sie sei zuversichtlich, dass der Privacy Shield auch vor dem Europäischen Gerichtshof bestehen werde: er sei "maßgeschneidert", so Jourová. Ob Max Schrems selbst ein neues Verfahren vor dem EuGH anstrengen will, um das Privacy Shield von den Luxemburger Richtern prüfen zu lassen, weiß er noch nicht. Allerdings geht er fest davon aus, dass es zu solch einem Verfahren kommen wird.
"Es wird immer das Argument geben, die nationale Sicherheit zu schützen. Und man wird immer grundsätzlich argumentieren, denn, wenn man nach dem konkreten Fall fragt, bekommt man keine Informationen. Das ist das Risiko."
Aber sie sei zuversichtlich, dass der Privacy Shield auch vor dem Europäischen Gerichtshof bestehen werde: er sei "maßgeschneidert", so Jourová. Ob Max Schrems selbst ein neues Verfahren vor dem EuGH anstrengen will, um das Privacy Shield von den Luxemburger Richtern prüfen zu lassen, weiß er noch nicht. Allerdings geht er fest davon aus, dass es zu solch einem Verfahren kommen wird.
Auch Frederik Borgesius ist skeptisch, dass die neue Vereinbarung von den Luxemburger Richtern als ausreichend betrachtet wird. Dennoch hat er Verständnis für die Position der EU-Kommission, ein Patentrezept gebe es kaum:
"Es ist nicht so, dass die Kommission in den Verhandlungen eine einfache Lösung übersieht. Ihre Aufgabe ist sehr schwierig. Es kann durchaus möglich sein, dass am Ende ein schmutziger Kompromiss die einzige Möglichkeit bleibt."
"Es ist nicht so, dass die Kommission in den Verhandlungen eine einfache Lösung übersieht. Ihre Aufgabe ist sehr schwierig. Es kann durchaus möglich sein, dass am Ende ein schmutziger Kompromiss die einzige Möglichkeit bleibt."
* In einer vorherigen Fassung wurde von einem Safe-Harbor-Abkommen gesprochen. Es handelt sich jedoch um eine Vereinbarung und nicht um ein formales Abkommen.
