Nachfolger für Privacy Shield:Dritter Versuch beim transatlantischen Datenschutz

Nachfolger für Privacy Shield: US-Präsident Joe Biden und Ursula von der Leyen, Präsidentin der Europäischen Kommission, sehen eine Lösung für einen sicheren Datenfluss über den Atlantik.

US-Präsident Joe Biden und Ursula von der Leyen, Präsidentin der Europäischen Kommission, sehen eine Lösung für einen sicheren Datenfluss über den Atlantik.

(Foto: Evelyn Hockstein/Reuters)

Safe Harbor: gekippt. Privacy Shield: gekippt. Nun verkünden USA und EU, sie hätten dieses Mal wirklich einen Weg gefunden, Daten von Europäern vor der NSA zu schützen.

Von Jannis Brühl

Seit Edward Snowden ist das Vertrauen in die Amerikaner futsch. Die Spionage des Geheimdienstes NSA, die der Whistleblower 2013 aufdeckte, machte klar, dass Bürger der EU von den "Freunden" in den USA überwacht werden können - etwa, wenn sie Nachrichten im US-Netzwerk Facebook verschicken.

Seit sieben Jahren zehrt das Problem an den Nerven von Politikern und Unternehmern. Denn Europas höchste Richter haben nacheinander beide Abmachungen zwischen EU und USA gekippt, die den Datenfluss über den Atlantik trotz US-Schnüffelei erlauben sollten. Nun unternehmen US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen einen dritten Anlauf. Am Freitag verkündeten sie in Brüssel, dass es eine "Verbesserung des Privacy-Shield-Rahmens" geben soll. Den Privacy-Shield-Deal zwischen EU und USA hatte der Europäische Gerichtshof (EuGH) 2020 für ungültig erklärt. Seitdem war es - schon wieder - in vielen Fällen illegal, bestimmte Daten aus der EU in die USA zu schicken. Das ist in einer vernetzten Welt allerdings für viele Unternehmen praktisch unmöglich zu vermeiden. Für Unternehmen entstand Rechtsunsicherheit. Der Facebook-Konzern Meta warnte im Herbst, ohne neuen Deal müssten Facebook und Instagram in Europa wahrscheinlich eingestellt werden.

Das Dilemma wollen Biden und von der Leyen nun aufgelöst haben. Die Kommissionspräsidentin sprach von einer "prinzipiellen Vereinbarung für einen Rahmen", der wieder "vertrauenswürdige Datenflüsse" ermögliche und dabei "Privatsphäre und Bürgerrechte schützt". Wie konkret die Regelung aussieht, ist noch unklar. In dem zusätzlich veröffentlichten einseitigen Dokument heißt es vage: Es solle "verbindliche Sicherheitsmechanismen geben, um den Zugang der US-Geheimdienste zu Daten einzuschränken", allerdings nur, soweit die Mechanismen "notwendig und verhältnismässig" seien, um die "nationale Sicherheit zu schützen". Ein "neues, zwei-stufiges Wiedergutmachungssystem" solle sicherstellen, dass EU-Bürger sich über unbefugten Zugriff auf ihre Daten wirkungsvoll beschweren können.

Neben Edward Snowden heißt die zweite Hauptfigur des transatlantisches Daten-Dramas Max Schrems. Der österreichische Datenschutzaktivist hatte die alten Vereinbarungen mit zwei Klagen vor dem EuGH nichtig gemacht. Zunächst 2015 "Safe Harbor" - Schrems zufolge hätten Snowdens Enthüllungen gezeigt, dass die USA mit ihrem Überwachungsapparat für Daten von EU-Bürgern eben kein "sicherer Hafen" sein könnten. Nach dem Richterspruch versuchten EU und USA 2016 mit dem Privacy Shield nachzubessern - den der EuGH dann 2020 kippte. Daraufhin verboten nationale Datenschutzbehörden wie die von Österreich, Frankreich und den Niederlanden, Unternehmen Transfers in die USA.

Knackpunkt war stets gewesen, wie die USA garantieren können, dass der Geheimdienst mit den weitreichenden Befugnissen im Fall der Daten von EU-Bürgern eben nicht schnüffeln kann, wie er will. Die Stelle einer Ombudsperson im US-Außenministerium als Teil des Privacy Shield fiel bei den Richtern durch: Es sei nicht ersichtlich, wie diese den Geheimdiensten sagen könne, was sie zu tun oder zu lassen hätten.

Die Lage wegen des Ukraine-Kriegs könnte zur Einigung beigetragen haben

Nun soll mit der neuen Einigung der dritte - und wenn es nach EU und USA geht letzte - Akt des Dramas kommen. Schrems erklärte nach der Verkündung allerdings schon, er sehe keine "substantielle Reform auf US-Seite" und: "Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte. Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen." Der SZ sagte er: "Aktuell gehe ich zu 90 Prozent davon aus, dass das Ding im Herbst mal rauskommt und dann innerhalb von ein paar Monaten beim EuGH liegt." Er verwies darauf, dass der Europäische Datenschutzausschuss zustimmen müsse, die Kommission könne über so einen Deal nicht völlig frei entscheiden. Der grüne Bundestagsabgeordnete und Digitalpolitiker Konstantin von Notz begrüßte "ausdrücklich", dass es eine Einigung gibt und sagte: "Gleichzeitig braucht es nun dringend mehr Transparenz bezüglich der genauen Inhalte und des weiteren Vorgehens."

Der europäische Arbeitgeberverband Business Europe lobte die Einigung dagegen als "tolles Signal an die Business-Community und die ganze Welt". Die internationale Vereinigung der Datenschützer IAPP kommentierte, nun könnten "Datenschutz-Profis auf der ganzen Welt endlich aufatmen".

In der EU waren Bedenken groß, weswegen die jetzige Einigung für manche überraschend kommt. Die Verhandlungen fanden zuletzt vor dem Hintergrund des Krieges in der Ukraine statt - was womöglich eine Rolle bei der schnellen Einigung gespielt hat. Die Website Politico berichtete am Donnerstag, auf Seiten der USA und der US-Konzerne hätten manche noch stärker auf eine Einigung gedrängt und freien Datenfluss als Sache der nationalen Sicherheit dargestellt, wohl um Bedenken vom Tisch zu räumen. Bestätigt ist diese Verhandlungstaktik nicht. Schrems sagte dazu: "Besonders empörend ist, dass die USA angeblich den Krieg gegen die Ukraine genutzt haben, um die EU in dieser Wirtschaftsfrage unter Druck zu setzen."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: