Datenschutz:Statt Safe Harbor: "Privatsphäre-Schild" soll europäische Daten in USA schützen

Facebook opens first data center outside the USA

Server sind die Datenspeicher des Internets. Im Bild: Das Facebook-Datenzentrum in Schweden.

(Foto: picture alliance / dpa)
  • EU-Kommission und US-Handelsministerium haben sich auf neue Regeln geeinigt, mit denen Daten besser geschützt werden sollen, die aus der EU in die USA übertragen werden.
  • Ein ausgearbeitetes Dokument zu der Vereinbarung gibt es noch nicht.
  • Dir Grünen sprechen vom "Ausverkauf des EU-Grundrechts auf Datenschutz".

Von Jannis Brühl

Die Europäische Union und die Vereinigten Staaten haben sich auf neue Regeln zum Datenaustausch geeinigt. Eine Nachfolge-Vereinbarung zum Safe-Harbor-Abkommen stehe, verkündete der EU-Kommissar für den Digitalen Binnenmarkt, Andrus Ansip. Der neue Name soll lauten: "EU-US-Privatsphäre-Schild". So soll die Rechtsunsicherheit für Tausende Unternehmen mit Zweifeln von Datenschützern an der alten Regelung in Einklang gebracht werden.

Eine neue Vereinbarung war nötig geworden, weil der Europäische Gerichtshof (EuGH) im Oktober die zuvor 15 Jahre geltende Safe-Harbor-Vereinbarung gekippt hatte. In den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, urteilten die Richter in Luxemburg. Zu dieser Überzeugung waren sie auch gekommen, weil Edward Snowden das Ausmaß der Massenüberwachung durch US-Geheimdienste enthüllt hatte.

Erstmals hätten die USA der EU nun versprochen, den Zugriff ihrer Sicherheitsbehörden auf Daten von Europäern in amerikanischen Rechenzentren zu begrenzen, sagte EU-Justizkommissarin Věra Jourová auf einer Pressekonferenz in Straßburg: "Die USA haben versichert, dass Europäer von ihnen nicht massenhaft oder willkürlich überwacht werden." Dazu werde es schriftliche Zusagen des nationalen Geheimdienstdirektors geben. Die USA würden einen Ombudsmann einführen, der beim Außenministerium angesiedelt sei, sagte Ansip. Bei dem könnten sich EU-Bürger über den Umgang mit ihren Daten beschweren. Unternehmen sollen nach einer bestimmten Frist auf Beschwerden antworten müssen.

Erstmals sollen EU-Bürger den Schutz ihrer Daten auch vor US-Gerichten einklagen können. Jedes Jahr sollen EU-Kommission und US-Regierung zusammen mit Spionageexperten und EU-Datenschutzbehörden prüfen, ob die neuen Regeln funktionieren.

EU und USA standen durch das Urteil unter Druck, sich zu einigen. In der Nacht zu Montag war eine Frist von EU-Datenschützern ausgelaufen, bis zu der diese neue Regeln forderten. Entsprechend unkonkret klingen nun einzelne Aspekte der Einigung. Der Zugriff von Behörden auf Daten von Europäern solle so eingeschränkt und beaufsichtigt werden, dass kein "allgemeiner Zugriff" mehr möglich sei. Ausnahmen müssten zudem "notwendig und verhältnismäßig" sein. Unternehmen müssten nun Zusagen machen, dass sie die Daten streng schützen. Das US-Handelsministerium soll darüber wachen, dass diese veröffentlicht und eingehalten werden.

Wie genau die Unternehmen den Schutz der Daten garantieren sollen, ist aber noch nicht bekannt. Nun werden beide Seiten einen genauen Text der neuen Regeln ausarbeiten. In etwa drei Monaten sollen die Details festgezurrt sein.

Mehr als 4000 Unternehmen von Neuregelung betroffen

Mehr als 4000 Unternehmen waren über die Safe-Harbor-Abmachung abgesichert. Sie mussten lediglich der US-Handelskommission FTC versichern, dass sie Datenschutzstandards auf EU-Niveau einhalten würden. Tatsächlich griffen US-Sicherheitsbehörden massiv auf diese Daten zu. Der österreichische Datenschutzaktivist Maximilian Schrems hatte deshalb vor dem EuGH gegen die Weitergabe seiner Facebook-Daten in die USA geklagt. Das Gericht gab ihm im Oktober Recht.

Das hatte zu erheblicher Rechtsunsicherheit unter Unternehmen geführt: Es war unklar, welche Unternehmen durch ihre individuellen Klauseln noch abgesichert waren und welche nicht. Multinationale Konzerne, die Daten zwischen ihren europäischen und amerikanischen Niederlassungen hin- und herschicken, befürchteten, dass ihre interne Kommunikation in Teilen illegal werden könnte. In den USA sitzen viele der größten Cloud-Anbieter und andere datenbasierte Konzerne wie Amazon Web Services oder Google, auf deren Server auch die Daten vieler europäischer Unternehmen liegen.

Einige nationale und regionale Datenschutzbehörden hatten bereits Druck auf Unternehmen gemacht, da sie deren Datentransfer nun nach dem Ende von Safe Harbor für rechtswidrig hielten. Die Datenschutzbehörden der EU-Länder wollten bis Mittwochmittag verkünden, wie hart sie gegen Unternehmen vorgehen wollen, die Daten in die USA übertragen. Nun ist die Frage, ob die Verkündung der Einigung durch die Kommission Einfluss auf ihre Entscheidung hat.

Die Einigung wurde auf zweierlei verschiedene Weisen interpretiert. Die EU sagt, sie setze das Urteil um und habe die Lücken im Datenschutz behoben, welche die Luxemburger Richter bemängelt hätten.

Jan Philipp Albrecht, grüner Europaabgeordneter und einer der schärfsten Kritiker der alten Regelung, bemängelte, dass noch kein Text ausgearbeitet sei. Auf Twitter schrieb er: "Das ist kein 'Deal'." Er sprach vom "Ausverkauf des EU-Grundrechts auf Datenschutz", auch weil der neue Ombudsmann "offenbar machtlos" sei. Die EU verlasse sich auf bloße Absichtserklärungen der USA und ignoriere die strengen Vorgaben des EuGH.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: