Die Europäische Kommission hat am Dienstag das umstrittene neue Datenschutzabkommen mit den USA gebilligt. Damit gibt es nun wieder eine einheitliche Rechtsgrundlage für den Fluss von Daten aus der EU in die USA. Das sogenannte Privacy Shield ersetzt die Safe-Harbor-Vereinbarung, die der Europäische Gerichtshof (EuGH) im Oktober 2015 nach einer Klage des Österreichers Max Schrems für ungültig erklärt hatte. Die Mitgliedstaaten hatten vergangene Woche zugestimmt, sodass das Abkommen unmittelbar in Kraft treten kann.
Der Deal mit den USA, Ergebnis mehr als zweijähriger Verhandlungen, berücksichtige die Vorgaben des EuGH sowie Forderungen des Europaparlaments, sagte EU-Justizkommissarin Věra Jourová. Der Datenschutz werde ebenso gestärkt wie die Möglichkeiten für EU-Bürger, sich in den USA rechtlich Gehör zu verschaffen. Dazu könnten sie sich an einen Ombudsmann im US-Außenministerium wenden. Außerdem dürften nur diejenigen persönlichen Daten zugänglich für Dritte sein, die unbedingt notwendig für einen bestimmten Zweck seien. Zudem werde die Vereinbarung jährlich gemeinsam überprüft. US-Handelsministerin Penny Pritzker sprach in Brüssel von einem "Meilenstein", der den Handel über den Atlantik hinweg deutlich erleichtern werde. Nach dem Aus für Safe Harbor hatten Unternehmen den Datentransfer umständlich über einzelne Schutzklauseln sichern müssen.
Privacy Shield schreibt nun fest, wie Daten von EU-Bürgern bei US-Unternehmen gesichert werden müssen und unter welchen Umständen amerikanische Behörden auf sie zugreifen dürfen. Die Unternehmen müssen sich in den USA zertifizieren lassen und zur Einhaltung bestimmter Standards verpflichten. Die EU kann die USA nun offiziell zu einem sicheren Ort für die Daten von EU-Bürgern erklären. Das Abkommen soll den transatlantischen Konflikt lösen, der mit den Enthüllungen von Edward Snowden offensichtlich wurde: Wie kann garantiert werden, dass die US-Geheimdienste nicht willkürlich auf persönliche Daten von EU-Bürgern zugreifen, die diese in den Datenspeichern von US-Unternehmen hinterlassen? Das betrifft viele Europäer, etwa wenn sie mit einem amerikanischen Freund auf Facebook kommunizieren, aber auch europäische Konzerne wie Adidas, wenn sie Daten an ihre US-Töchter übertragen. Es geht um Informationen, die Unternehmen über ihre Mitarbeiter speichern oder Daten über das Verhalten von Internetnutzern, die für Online-Werbung gesammelt werden.
Der BDI-Präsident findet, der neue Pakt schaffe endlich wieder "die notwendige Rechtssicherheit"
Unternehmen müssen Daten künftig löschen, wenn diese nicht mehr zu dem Zweck verwendet werden, zu dem sie ursprünglich gesammelt wurden. Gibt ein Unternehmen, das sich zur Einhaltung verpflichtet hat, Daten an Dritte weiter, müssen sich auch diese Dritten vertraglich verpflichten, mit den Daten sorgfältig nach den Privacy-Shield-Vorgaben umzugehen. US-Firmen müssen binnen 45 Tagen reagieren, wenn Europäer sich beschweren, dass mit ihren Daten widerrechtlich umgegangen werde. Die Europäer können sich auch an ihre nationalen Datenschutzbehörden oder die Ombudsperson wenden. Notfalls soll es zu Schiedsverfahren kommen.
Mehrere Branchenverbände begrüßten die Neuregelung. Der Bundesverband der deutschen Industrie BDI sprach von einem zentralen Element für die digitale Wettbewerbsfähigkeit Europas. "Der neue Pakt schafft endlich wieder die notwendige Rechtssicherheit für den transatlantischen Datenverkehr", sagte BDI-Präsident Ulrich Grillo.
Kritiker bezweifeln jedoch, dass der Deal die Daten von EU-Bürgern wirklich schützt. Was individuelle Rechte gegenüber Unternehmen und die Überwachung durch Sicherheitsbehörden betreffe, böten die USA keinen Datenschutz, der EU-Standards entspreche, monierte der grüne EU-Abgeordnete Jan Albrecht. Eben dies aber, einen "wesentlich gleichwertigen" Schutz, fordert der EuGH. Max Schrems erwartet daher, dass auch Privacy Shield rechtlich keinen Bestand haben werde. Es reiche nicht, dass die US-Regierung schriftlich zusichere, die massenhafte Überwachung für Zwecke der nationalen Sicherheit auf sechs Bereiche zu begrenzen: Spionage, Terrorismus, Massenvernichtungswaffen, Bedrohung des Militärs und "transnationale kriminelle Bedrohungen". Das sei "meilenweit entfernt" von Forderungen des EuGH.