‚Safe Harbor‘ ungültig – ‚Privacy Shield‘ ist nicht die Lösung

Das „Safe Harbor“-Abkommen ist gekippt – jetzt versuchen EU und USA ein neues Datenabkommen auszuhandeln und präsentieren das „Privacy Shield“. Die Kernprobleme Massenüberwachung und fehlende US-Datenschutzgesetze sind damit nicht gelöst.
Bild
Collage: Im Hintergrund stecken Rüben in der Erde. Davor steckt ein Schild mit einer Grafik von einem durchgestrichenen Schwein.

„Für Widschweine betreten verboten“ Ob das hilft?

Ansatz für neues Datenabkommen zwischen EU und USA geht in falsche Richtung

Der „Privacy Shield“-Ansatz kann, nach allem, was bisher bekannt ist, das EU-Grundrecht auf Privatsphäre in keiner Weise schützen. Nachdem der EU-Gerichtshof das „Safe Harbor“-Abkommen gekippt hat, versuchen EU und USA ein neues Datenabkommen auszuhandeln. Kernprobleme sind die Massenüberwachung der USA und fehlende US-Datenschutzgesetze. Mit dem „Privacy Shield“ droht ein wirtschaftsfreundliches Abkommen, das diese Grundrechtsfragen nicht löst.

„Privacy Shield“-Ansatz verhindert echte Lösungen

Rena Tangens, Gründungsvorstand von Digitalcourage, sagt: „Die Daten von Europäer.innen, die in die USA übertragen werden, wären durch die „Privacy Shield“-Vereinbarung in etwa so gut geschützt wie ein Gemüsegarten ohne Zaun, gesichert durch ein Schild, das Wildschweinen das Betreten verbietet.“

Friedemann Ebelt, Campaigner bei Digitalcourage, sagt: „Das „Privacy Shield“ ist ein Verschleierungstrick. Denn das „Schutzschild für Privatsphäre“ soll die Tatsache verdecken, dass es keine Lösung für die grundrechtswidrige Massenüberwachung gibt. Solange wirksame Reformen ausbleiben, sind private und geschäftliche Daten weiterhin nicht geschützt.“

Schutzschild mit riesigen Löchern

Der von der EU-Kommission präsentierte Ansatz für ein „Privacy Shield“ ist lediglich auf unwirksame Versprechen gestützt. Er verhindert notwendige Reformen:

  • Die Praktiken anlassloser Massenüberwachung in der EU und in den USA werden nicht reformiert. Die USA sollen lediglich versprechen, den Zugriff auf persönliche Daten von EU-Bürger.innen zu beschränken. Umfangreiche Überwachungsgesetze bleiben dagegen weiterhin in Kraft.
  • Unternehmen, die persönliche Daten in die USA bewegen, sollen lediglich versprechen, sich an den EU-Datenschutz zu halten. Für die Einhaltung der Versprechen sorgen keine Datenschutzgesetze, sondern die US Federal Trade Commission – die diese Aufgabe bereits in den letzten 15 „Safe Harbor“-Jahren nicht erfüllt hat.
  • Wie EU-Bürger.innen ihre Grundrechte durchsetzen können, ist ebenfalls nicht konkret geklärt.
  • Das Grundrecht auf Privatsphäre soll nicht durch Gesetze vor anlassloser Massenüberwachung des US-Geheimdienstes NSA geschützt werden. Stattdessen soll eine unparteiische Schiedsstelle geschaffen werden, von der aber fraglich ist, ob sie irgendwelche Befugnisse zur Rechtsdurchsetzung haben wird.

Position der EU-Datenschutzbeauftragten

Die Artikel-29-Gruppe äußerte in einer Pressemitteilung (Video der Presekonferenz) große Bedenken gegenüber dem aktuellen US-Rechtssystem in Bezug auf das Ausmaß der Massenüberwachung und den Rechtsschutz der Betroffenen. Jetzt würden die Datenschützer analysieren, inwieweit der „Privacy Shield“-Vorschlag eine rechtliche Grundlage für Datentransfer sein kann. Damit die Grundrechte von Europäer.innen gesichert sind, müssen Überwachungsmaßnahmen der Artikel-29-Gruppe zufolge vier Kriterien erfüllen:

  1. Die geheimdienstliche Datenverarbeitung muss auf klaren und transparenten Regeln basieren.
  2. Die Datenverarbeitung muss verhältnismäßig sein. Die Datenverarbeitung muss in einem angemessenen Verhältnis zu den Grundrechten des Individuums stehen.
  3. Es muss ein unabhängiger Kontrollmechanismus existieren.
  4. Jede Person muss das Recht haben, ihre oder seine Rechte vor einer unabhängigen Instanz zu verteidigen.

Weitere Schritte:

Die EU-Kommission will innerhalb der nächsten drei Wochen einen konkreten Vorschlag für ein „Privacy Shield“-Abkommen vorlegen. Danach werden die EU-Datenschutzbeauftragten prüfen, ob das „Privacy Shield“-Abkommen die oben genannten Kriterien erfüllt.

Das Gute an der schlechten Nachricht:

Deutsche Unternehmen können sich aufgefordert fühlen, ihre IT und Datenbe- und verarbeitungen ins europäische Inland zu verlegen. Die US-amerikanische Gesetzgebung kann angeregt sein, in den USA eine dem europäischen Recht vergleichbare Datenschutzgesetzgebung zu erarbeiten und zu beschließen.

Weitere Informationen: