Privacy Shield Vertraut uns, wir sind Spione

  • EU und USA haben eine neue Vereinbarung zum Datenaustausch beschlossen.
  • "Privacy Shield" soll die Privatsphäre der EU-Bürger garantieren, doch Politiker und Datenschützer sind skeptisch.
  • Zwar können Unternehmen besser kontrolliert werden, doch das Problem der Massenüberwachung durch US-Geheimdienste bleibt bestehen.
Analyse von Jannis Brühl

Die Daten über den Atlantik können wieder problemlos fließen. An diesem Dienstag hat die EU-Kommission verkündet, dass die Privacy Shield genannte Vereinbarung zwischen EU und USA in Kraft tritt. Sie schreibt fest, wie US-Unternehmen Daten von EU-Bürgern sichern müssen und unter welchen Umständen amerikanische Behörden darauf zugreifen dürfen. Die Unternehmen müssen sich in den USA zertifizieren lassen und zur Einhaltung bestimmter Standards verpflichten. Die EU erklärt die USA damit offiziell zu einem sicheren Ort für die Daten der EU-Bürger. Am Freitag hatte eine Mehrheit von Vertretern der Mitgliedsstaaten der Vereinbarung zugestimmt.

Ob der Deal die Daten der EU-Bürger wirklich schützt, ist aber umstritten. Der "Schild" enthält tatsächlich Verbesserungen, etwa bei er Kontrolle von Unternehmen. Das Grundproblem löst er aber nicht: Der US-Geheimdienstapparat kann nach wie vor auf Daten zugreifen, die bei US-Unternehmen gespeichert sind - schließlich hat er erhebliche Befugnisse, sobald es um das weite Feld der "nationalen Sicherheit" geht. Diese Kompetenzen bleiben unangetastet. Die ehemalige Justizministerin Sabine Leutheusser-Schnarrenberger nennt die Vereinbarung "Persilschein für die Massenüberwachung", heute sei "ein pechschwarzer Tag für den Datenschutz in Europa".

Hunderte Millionen Europäer sind betroffen

Privacy Shield ist Nachfolger der Safe-Harbor-Abmachung, die im Oktober 2015 vom Europäischen Gerichtshof (EuGH) gekippt wurde. Die neue Vereinbarung soll den Konflikt lösen, der mit den Enthüllungen von Edward Snowden offensichtlich wurde: Wie kann garantiert werden, dass sich die US-Geheimdienste nicht willkürlich auf die persönlichen Daten von EU-Bürgern stürzen, die diese in den Datenspeichern von US-Unternehmen hinterlassen? Das betrifft viele Europäer, etwa, wenn sie Facebook nutzen oder mit Google suchen, aber auch europäische Konzerne wie Adidas, die Daten über Mitarbeiter und Kunden an ihre amerikanischen Töchter übertragen.

Für die Unternehmen ist die Vereinbarung ein Grund zur Freude: Eco, der Verband der Internetwirtschaft bezeichnet Privacy Shield als "lang ersehnte, gute Nachricht". Die Monate nach dem Ende von Safe Harbor hatten Manager und ihre Rechtsabteilungen in Angst vor Bußgeldbescheiden staatlicher Datenschützer verbracht. Ihre Server in den USA galten in Europa schlagartig nicht mehr als sicher. Das ist nun vorbei.

Das sind die wichtigsten Punkte des finalen Entwurfs:

  • Verstoßen Unternehmen mehrfach gegen die Regeln, fliegen sie von der Privacy-Shield-Liste der US-Handelskommission. Das kann bedeuten, dass sie den Datentransfer umständlich mit anderen Vertragsklauseln absichern müssen. Die Daten betroffener Nutzer müssen sie löschen.
  • Unternehmen müssen Daten löschen, wenn diese nicht mehr zu dem Zweck verwendet werden, zu dem sie ursprünglich gesammelt wurden.
  • Gibt ein Unternehmen, das sich zur Einhaltung des Vertrags verpflichtet hat, Daten an eine andere Firmen weiter, müssen sich auch diese Dritten vertraglich verpflichten, mit den Daten sorgfältig nach den Privacy-Shield-Vorgaben umzugehen.
  • Eine Ombudsperson im US-Außenministerium kümmert sich um Beschwerden von EU-Bürgern, wenn die der Meinung sind, ihre Daten bei US-Unternehmen würden missbraucht.
  • Europäer bekommen mehr Möglichkeiten, sich gegen die Verwendung ihrer Daten durch US-Unternehmen zu wehren. Die Firmen müssen auf Beschwerden von Nutzern binnen 45 Tagen reagieren. Glauben sie, dass mit ihren Daten widerrechtlich umgegangen wird, können sich Europäer an das Unternehmen oder über ihre nationalen Datenschutzbehörden an die Ombudsperson wenden. Notfalls soll es zu Schiedsverfahren kommen - all das soll den Bürger nichts kosten.
  • Der US-Geheimdienstkoordinator hat der EU-Kommission versprochen, das massenhafte Sammeln von Daten "so weit wie möglich" einzuschränken. Zudem versichert er, die Daten von EU-Bürgern würden nicht willkürlich und nur im Einklang mit US-Gesetzen gesammelt.
  • Die EU-Kommission prüft jedes Jahr, ob Privacy Shield funktioniert.