Die Datenschützer der EU-Staaten wollen vorerst nicht gegen Unternehmen vorgehen, die weiter Informationen in die USA übertragen. Nachdem der Europäische Gerichtshof das "Safe-Harbor-Abkommen" zwischen der EU und den USA im Oktober für ungültig erklärt hatte, sind alternative Übertragungsgrundlagen umstritten. So genannte Standardvertragsklauseln und Binding Corporate Rules, mit denen Unternehmen sich selbst zu hohen Datenschutzstandards verpflichten, können also weiter verwendet werden, zumindest bis April. Dann will die "Artikel 29 Datenschutzgruppe" entscheiden, in der sich die Datenschutzbehörden der EU-Mitgliedsstaaten sowie Norwegens, Islands und Liechtensteins treffen, verkündete sie in Brüssel. Sie berät die EU in Fragen des Datenschutzes, und dient als Forum, in dem sich die nationalen Datenschutzbehörden abstimmen.
Es geht um ein grundsätzliches Problem: Während die EU zumindest auf dem Papier die schärfsten Datenschutzvorschriften der Welt hat, gelten in den USA überhaupt keine einheitlichen Regeln. Betroffen von diesem Widerspruch sind Nutzer sozialer Netzwerke wie Facebook, aber auch Tausende Unternehmen: Viele Daten aus Europa wandern in die USA, wo die größten Cloud-Dienstleister und IT-Konzerne sitzen. Auf deren Servern sind sie jedoch leicht für Geheimdienste wie NSA und andere Behörden einsehbar. Die Enthüllungen von Edward Snowden haben gezeigt, dass die Dienste massenhaft private Kommunikationsdaten abgreifen.
Die Aufseher haben eigentlich erhebliche Bedenken, ob Daten von EU-Bürgern in den USA ausreichend geschützt sind. Ihrer Einschätzung nach können US-Sicherheitsbehörden zu leicht auf diese Daten zugreifen. Trotzdem verzichten sie darauf, massenhaft Unternehmen abzustrafen, die weiter Daten in die USA übertragen. Das liegt am "Privatsphäre-Schild". Diese Einigung soll Safe Harbor ersetzen, die EU und die USA hatten sie am Dienstag verkündet. Die USA sollen der EU zusichern, die Daten angemessen zu schützen, EU-Bürger sollen in den USA klagen dürfen und ein Ombudsmann im US-Außenministerium sich um Beschwerden kümmern.
Der Text der neuen Regelung liegt noch nicht vor. Bislang konnten die Datenschützer die Details also nicht analysieren. Solange wollen sie die alternativen Regeln wie etwa die Standardvertragsklauseln akzeptieren, die sie nach dem Safe-Harbor-Urteil ebenfalls für ungültig halten. "Der Privatsphäre-Schild ist ein neuer Fakt", sagte Isabelle Falque-Pierrotin, Chefin der französischen Datenschutzbehörde und Präsidentin der Arbeitsgruppe. Die Aufseher wollen nun prüfen, inwieweit die neuen Vereinbarungen juristische Bindungskraft hätten.
Der Zugriff von Behörden müsse "notwendig und verhältnismäßig", fordern Verbraucherschützer
In drei Wochen soll die Gruppe der Datenschützer den Text von der Kommission erhalten. Erst dann könne man prüfen, ob das neue Schild das Urteil des Europäischen Gerichtshofs umsetzt, oder ob die neuen Abmachungen mit den USA wieder zu schwach für EU-Datenschutzvorgaben sind. Dann wäre der Datentransfer von Unternehmen rechtswidrig, die Behörden könnten Strafen gegen sie verhängen.
"Wir sind sehr zufrieden, dass die Verhandlungsführer unsere Frist eingehalten haben", sagte Falque-Pierrotin. Das Ultimatum der Datenschützer an die USA und die EU, sich zu einigen, war in der Nacht zum Montag ausgelaufen. Viele der betroffenen Unternehmen waren deshalb unsicher, ob sie noch im legalen Rahmen Daten übertragen konnten. Für die Datenschützer sind vier Punkte besonders wichtig. Diese "essentiellen Garantien" sollen die USA nun erfüllen. Die Verarbeitung von Daten müsse auf klaren Regeln basieren. Der Zugriff von Behörden müsse "notwendig und verhältnismäßig" sein. Es müssen einen unabhängige Aufsicht darüber geben. EU-Bürger müssen die Möglichkeit haben, gegen das Ausspionieren ihrer Daten vorzugehen. Nur wenn as Schild diese Garantien erfülle, könnten Daten weiter übertragen werden