Privacy Shield:Vertraut uns, wir sind Spione

  • EU und USA haben eine neue Vereinbarung zum Datenaustausch beschlossen.
  • "Privacy Shield" soll die Privatsphäre der EU-Bürger garantieren, doch Politiker und Datenschützer sind skeptisch.
  • Zwar können Unternehmen besser kontrolliert werden, doch das Problem der Massenüberwachung durch US-Geheimdienste bleibt bestehen.

Analyse von Jannis Brühl

Die Daten über den Atlantik können wieder problemlos fließen. An diesem Dienstag hat die EU-Kommission verkündet, dass die Privacy Shield genannte Vereinbarung zwischen EU und USA in Kraft tritt. Sie schreibt fest, wie US-Unternehmen Daten von EU-Bürgern sichern müssen und unter welchen Umständen amerikanische Behörden darauf zugreifen dürfen. Die Unternehmen müssen sich in den USA zertifizieren lassen und zur Einhaltung bestimmter Standards verpflichten. Die EU erklärt die USA damit offiziell zu einem sicheren Ort für die Daten der EU-Bürger. Am Freitag hatte eine Mehrheit von Vertretern der Mitgliedsstaaten der Vereinbarung zugestimmt.

Ob der Deal die Daten der EU-Bürger wirklich schützt, ist aber umstritten. Der "Schild" enthält tatsächlich Verbesserungen, etwa bei er Kontrolle von Unternehmen. Das Grundproblem löst er aber nicht: Der US-Geheimdienstapparat kann nach wie vor auf Daten zugreifen, die bei US-Unternehmen gespeichert sind - schließlich hat er erhebliche Befugnisse, sobald es um das weite Feld der "nationalen Sicherheit" geht. Diese Kompetenzen bleiben unangetastet. Die ehemalige Justizministerin Sabine Leutheusser-Schnarrenberger nennt die Vereinbarung "Persilschein für die Massenüberwachung", heute sei "ein pechschwarzer Tag für den Datenschutz in Europa".

Hunderte Millionen Europäer sind betroffen

Privacy Shield ist Nachfolger der Safe-Harbor-Abmachung, die im Oktober 2015 vom Europäischen Gerichtshof (EuGH) gekippt wurde. Die neue Vereinbarung soll den Konflikt lösen, der mit den Enthüllungen von Edward Snowden offensichtlich wurde: Wie kann garantiert werden, dass sich die US-Geheimdienste nicht willkürlich auf die persönlichen Daten von EU-Bürgern stürzen, die diese in den Datenspeichern von US-Unternehmen hinterlassen? Das betrifft viele Europäer, etwa, wenn sie Facebook nutzen oder mit Google suchen, aber auch europäische Konzerne wie Adidas, die Daten über Mitarbeiter und Kunden an ihre amerikanischen Töchter übertragen.

Für die Unternehmen ist die Vereinbarung ein Grund zur Freude: Eco, der Verband der Internetwirtschaft bezeichnet Privacy Shield als "lang ersehnte, gute Nachricht". Die Monate nach dem Ende von Safe Harbor hatten Manager und ihre Rechtsabteilungen in Angst vor Bußgeldbescheiden staatlicher Datenschützer verbracht. Ihre Server in den USA galten in Europa schlagartig nicht mehr als sicher. Das ist nun vorbei.

Das sind die wichtigsten Punkte des finalen Entwurfs:

  • Verstoßen Unternehmen mehrfach gegen die Regeln, fliegen sie von der Privacy-Shield-Liste der US-Handelskommission. Das kann bedeuten, dass sie den Datentransfer umständlich mit anderen Vertragsklauseln absichern müssen. Die Daten betroffener Nutzer müssen sie löschen.
  • Unternehmen müssen Daten löschen, wenn diese nicht mehr zu dem Zweck verwendet werden, zu dem sie ursprünglich gesammelt wurden.
  • Gibt ein Unternehmen, das sich zur Einhaltung des Vertrags verpflichtet hat, Daten an eine andere Firmen weiter, müssen sich auch diese Dritten vertraglich verpflichten, mit den Daten sorgfältig nach den Privacy-Shield-Vorgaben umzugehen.
  • Eine Ombudsperson im US-Außenministerium kümmert sich um Beschwerden von EU-Bürgern, wenn die der Meinung sind, ihre Daten bei US-Unternehmen würden missbraucht.
  • Europäer bekommen mehr Möglichkeiten, sich gegen die Verwendung ihrer Daten durch US-Unternehmen zu wehren. Die Firmen müssen auf Beschwerden von Nutzern binnen 45 Tagen reagieren. Glauben sie, dass mit ihren Daten widerrechtlich umgegangen wird, können sich Europäer an das Unternehmen oder über ihre nationalen Datenschutzbehörden an die Ombudsperson wenden. Notfalls soll es zu Schiedsverfahren kommen - all das soll den Bürger nichts kosten.
  • Der US-Geheimdienstkoordinator hat der EU-Kommission versprochen, das massenhafte Sammeln von Daten "so weit wie möglich" einzuschränken. Zudem versichert er, die Daten von EU-Bürgern würden nicht willkürlich und nur im Einklang mit US-Gesetzen gesammelt.
  • Die EU-Kommission prüft jedes Jahr, ob Privacy Shield funktioniert.

US-Geheimdienste dürfen schnüffeln wie eh und je

Die Vereinigten Staaten haben im Gegensatz zur EU keine einheitlichen Regeln zum Datenschutz. Sie unterscheiden sich von Branche zu Branche, von Bundesstaat zu Bundesstaat. Insgesamt sind sie deutlich laxer als hierzulande. Aber Datenschutz ist den Europäern ähnlich heilig wie den Amerikanern Meinungsfreiheit - beides in einem Maße, dass es die andere Seite manchmal befremdet.

Aus Sicht der Kommission ist Privacy Shield maßgeschneidert und füllt die Lücken, die der EuGH bei Safe Harbor moniert hatte. Aber bei den wirklich heiklen Fragen, der Zugriffsmöglichkeit der Geheimdienste und den Möglichkeiten für Europäer, sich gegen Überwachung zu wehren, zeigt die Vereinbarung Schwächen. In diesem Punkt basiert sie auf schriftlichen Versicherungen von hochrangigen US-Regierungsvertretern, darunter der Nationale Geheimdienstkoordinator James Clapper. Nach dem Motto: Vertraut uns, wir sind Spione.

Clappers Büro versichert lediglich, dass sich die massenhafte Sammlung auf sechs Gefahren beschränken werde: Spionage, Terrorismus, Massenvernichtungswaffen, Bedrohung des Militärs und "transnationale kriminelle Bedrohungen". Die Deutsche Vereinigung für Datenschutz sieht Europäer auch unter Privacy Shield als "rechtlose Objekte unkontrollierten Data-Minings".

Die Ombudsfrau ist eine zahnlose Tigerin

Ein weiteres Problem ist, dass wie schon bei Safe Harbor die US-Handelskommission für die Einhaltung der Regeln zuständig ist. Es ist dieselbe Behörde, die sich unter den alten Regeln als zahnlos erwiesen hatte. Unklar ist, wie gut sie Unternehmen tatsächlich kontrollieren kann.

Zweifel bestehen auch beim tatsächlichen Einfluss der Ombudsfrau, die für Beschwerden der EU-Bürger zuständig ist. "Staatssekretärin Novelli ist unabhängig von der US-Geheimdienstgemeinde und berichtet direkt an mich." Der Satz steht in einem Brief von Außenminister John Kerry, der ebenfalls Teil der Vereinbarung ist. Er soll die Europäer ruhigstellen. Doch die Ombudsfrau ist Teil derselben Regierung, die abhört. Leutheusser-Schnarrenberger bezeichnet die Ombudsperson als "Poststelle". Sie dürfe nicht selbst ermitteln, gebe Beschwerden nur an Geheimdienstaufseher weiter.

Was also sind die Versicherungen der US-Seite wert? Diese Frage ist mehr als das Gemäkel überängstlicher Datenschützer. Denn am Ende könnte wieder der EuGH entscheiden, ob Privacy Shield dem europäischen Datenschutz genügt. Die Kommission muss hoffen, dass die Vereinbarung gerichtsfest ist.

Der Brexit könnte auch beim Datenschutz Probleme bereiten

Kurz vor Bekanntgabe der Vereinbarung machte ein Vertreter eines amerikanischen IT-Konzerns im Gespräch mit der SZ deutlich, dass seiner Branche jeder Deal recht sei - Hauptsache es gebe überhaupt einen. Leutheusser-Schnarrenberger oder der grüne EU-Parlamentsabgeordnete Jan Philipp Albrecht wünschen sich, dass die USA Datenschutz-Gesetze nach europäischen Vorstellungen verabschieden. Doch dafür fehlt Europa offensichtlich die Macht oder der Wille.

Vielleicht haben die Kontinentaleuropäer aber bald ein anderes Problem: Bricht Großbritannien beim Brexit mit dem europäischen Datenschutz-System, müsste das Land mit der EU eine ähnliche Abmachung treffen. Und der Geheimdienst ihrer Majestät gilt manchen als noch übergriffiger als die NSA.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: