Inhalt

Aus dem Hafen wird ein Schutzschild: Auf "Safe Harbor" folgt "Privacy Shield"

Neues Datenschutz-Abkommen zwischen EU und USA tritt in Kraft

Person vor einem Notebook

5.2.2016/SWE
Aktualisierung: 13.7.2016

12. Juli 2016: EU-Kommission nimmt  "Privacy Shield" an

Die EU-Kommission hat "Privacy Shield" am 12. Juli 2016 mit einem "Angemessenheitsbeschluss "angenommen. Dieser Beschluss wurde den Mitgliedstaaten zugeleitet und tritt unverzüglich in Kraft. Auf Seiten derUSA wird der Rahmen für den Datenschutzschild im US-Bundesregister (entspricht dem EU-Amtsblatt) veröffentlicht.

Nähere Informationen: Pressemitteilung der Kommission, 12. Juli 2016

Ein neues Datenschutz-Abkommen soll für mehr Sicherheit beim personenbezogenen Transfer von Daten zwischen der EU und den USA sorgen: Darauf haben sich Vertreterinnen und Vertreter beider Seiten am 2. Februar 2016 geeinigt. Eine stärkere Überwachung von Firmen soll die Weitergabe von Informationen europäischer Bürgerinnen und Bürger an US-Unternehmen beschränken und klaren Regeln unterwerfen. Es regt sich jedoch Kritik.

Serverraum
Der Datentransfer zwischen EU und USA soll klar geregelt werden (© Europäische Kommission)

Dieser neue "Schutzschild für Privatsphäre" ("Privacy Shield") soll das sogenannte "Safe Harbor"-Abkommen ("Sicherer Hafen") ersetzen, das der Europäische Gerichtshof (EuGH) auf Initiative des Österreichers Max Schrems im Oktober 2015 kippte.

Die Kernpunkte der Neuregelung

Mit "Privacy Shield" reagieren die EU und die USA auf das EuGH-Urteil. Die Details zu den neuen Regeln:

  • Daten von EU-Bürgerinnen und -Bürgern würden künftig stärker geschützt. Erstmals überhaupt gebe es eine "bindende Zusicherung" der USA, dass der Zugriff der US-Behörden aus Gründen der nationalen Sicherheit "klaren Bedingungen, Sicherungen und Kontrollmechanismen" unterlägen, so die EU-Kommission. Die Vereinbarung betrifft alle Daten, mit denen ein einzelner Mensch identifiziert werden kann – sei es direkt (Name, Vorname, Foto) oder indirekt (Sozialversicherungsnummern, Kundennummern usw.). Betroffen sind nach Expertenangaben nicht nur große Konzerne wie Facebook oder Google, sondern alle Unternehmen, die Daten mit amerikanischen Partnern austauschen, auch viele mittelständische Firmen, etwa beim Einkauf im Internet.
  • Geplant ist nach Angaben der Kommission, dass das US-Handelsministerium Firmen überwacht, die Daten aus Europa verarbeiten. Wer sich nicht an die Standards hält, dem drohen Sanktionen – bis hin zur Streichung von der Liste jener Firmen, die unter das Abkommen fallen. Die US-Seite sagt laut Verhandlungsteam der EU-Kommission eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu.
  • Im US-Außenministerium wird sich ein Ombudsmann um Beschwerden und Klagen von EU-Bürgerinnen und EU-Bürgern über die mögliche missbräuchliche Überwachung durch US-Behörden kümmern.
  • Künftig geben die EU-Kommission und das US-Handelsministerium jährlich einen Bericht heraus, aus dem die Einhaltung der Regeln hervorgeht.
Frau vor Bildschirm
EU-Bürgerinnen und –Bürger können sich künftig bei Beschwerden an einen Ombudsmann in den USA wenden (© Europäische Kommission)

Die Details des neuen Abkommens werden in den nächsten Monaten rechtlich ausformuliert. Zudem muss die EU-Kommission formell feststellen, dass damit der Datenschutz in den USA gesichert ist. Rat und EU-Parlament müssen dem Abkommen ebenfalls ihren Segen geben. 2017 soll die erste jährliche Überprüfung von "Privacy Shield" stattfinden.

Hält das neue Abkommen dem EuGH stand?

Kernfrage wird sein, ob das neue Abkommen einer möglichen Überprüfung vor dem EuGH standhalten wird. Kritik wird vor allem anhand der Tatsache laut, dass die EU-Kommission sich allein auf Erklärungen der US-Regierung verlasse. Rechtlich verbindlich seien die Zusagen Washingtons nicht. Auch seien viele Kompetenzen noch unklar, etwa die Kontrollrechte des Ombudsmanns im US-Außenministerium. Eine Bewertung und Überprüfung von unabhängiger Stelle ist nicht vorgesehen. Auf Kritik stößt auch, dass das neue Abkommen von der EU-Kommission bis dato noch nicht veröffentlicht wurde, weder als Gesetzestext noch als Entwurf – es gibt lediglich eine Pressemitteilung. Max Schrems, der das Vorgänger-Abkommen zu Fall gebracht hatte, meint: "Es gibt noch keine Details." Und auch die sogenannte Artikel-29-Datenschutzgruppe (WP29), die sich aus Vertreterinnen und Vertretern von Datenschutzorganisationen der Mitgliedsstaaten und der EU zusammensetzt, kritisiert die mangelnde Information. Bis das neue Abkommen rechtsgültig ist, nutzen Unternehmen alternative Rechtsinstrumente als Grundlage für den transatlantischen Datenaustausch.

EU-Justizkommissarin Vera Jourová zeigt sich überzeugt davon, dass die neue Datenschutzregelung mit den USA "einer Gerichtsbeurteilung standhalten kann". Im EuGH-Urteil zum früheren "Safe Harbor"-Abkommen sei klargemacht worden, dass niemand ohne Rechtsmittel bleiben dürfe. Nun gebe es entsprechende Rechtsmittel. Für den Datenaustausch zwischen EU und USA bestünde künftig Rechtssicherheit.

Hintergrund: "Safe Harbor" und "Privacy Shield"

Der österreichische Datenschutz-Aktivist Max Schrems
Der österreichische Datenschutz-Aktivist Max Schrems übt Kritik am Abkommen (© Twitter/maxschrems)

Das "Safe Harbor"-Abkommen regelte zwischen den Jahren 2000 und 2015 den Datenaustausch zwischen Firmen aus den USA und der EU. Es setzte voraus, dass auf beiden Seiten des Atlantiks das gleiche Niveau an Datenschutz und Persönlichkeitsrechten herrscht. Die Enthüllungen des NSA-Whistleblowers Eward Snowden zeigten allerdings, dass dem nicht so ist. Mehr als 5.000 Unternehmen hatten sich für "Safe Harbor" angemeldet, darunter Facebook, Google, IBM oder Amazon. Diese Unternehmen verpflichteten sich, Daten europäischer User nur in Übereinstimmung mit der EU-Datenschutzrichtlinie in die USA zu übermitteln. Dies erfolgte jedoch nach dem Prinzip der Selbstregulierung; sprich: Die Unternehmen mussten keine Nachweise erbringen und wurden kaum kontrolliert.

Der österreichische Datenschutzaktivist Max Schrems hatte sich im Oktober 2015 mit seiner Klage gegen Facebook durchgesetzt, der Europäische Gerichtshof das "Safe Harbor"-Abkommen für hinfällig erklärt. Private Daten von EU-Bürgern und –Bürgerinnen seien in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, begründeten die Richterinnen und Richter in Luxemburg ihr Urteil.

Ob "Privacy Shield" nun einen regulierten und kontrollierten Datentransfer zwischen EU und USA herstellt, werden die nächsten Monate zeigen.

Webtipps

Pressemitteilung der Europäischen Kommission, 2. Februar 2016 (Englisch)