"Schutzschild" statt "sicherer Hafen":
"Privacy Shield": EU und USA einigen sich auf Daten-Regeln
Riesige Datenmengen fließen über den Atlantik in die USA. Doch die rechtliche Grundlage dafür fehlt seit einem Grundsatzurteil des Europäischen Gerichtshofs im Oktober. Das soll sich nun ändern.
"Schutzschild" statt "sicherer Hafen": Die EU und die USA haben sich nach zähen Verhandlungen auf neue Regeln für den Datenaustausch geeinigt. "Dieser neue Rahmen für die transatlantischen Datenflüsse schützt die Grundrechte der Europäer und gewährleistet Rechtssicherheit für Unternehmen", erklärte EU-Justizkommissarin Vera Jourova in Straßburg. Der Grünen-Europaabgeordnete Jan Philipp Albrecht nannte die Vereinbarung mit dem sperrigen Namen "EU-US-Privacy Shield" hingegen einen "Ausverkauf des EU-Grundrechts auf Datenschutz".
Die Vereinbarung war nötig geworden, weil der Europäische Gerichtshof (EuGH) im Oktober die zuvor geltende "Safe-Harbor"-Vereinbarung gekippt hatte. In den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, urteilten die Luxemburger Richter. Betroffen sind nach Expertenangaben nicht nur große Netzwerke wie Facebook sondern praktisch alle Unternehmen, die Daten mit amerikanischen Partnern austauschen, auch viele Mittelständler.
Eine massenhafte Überwachung der Daten, die unter den jetzt ausgehandelten Regelungen übermittelt werden, ist nicht vorgesehen. Dazu soll es schriftliche Zusicherungen aus dem Büro von US-Geheimdienstdirektor James Clapper geben.
Der Schutzschild-Rahmen sei nicht mit dem alten Safe-Harbor-Abkommen aus dem Jahr 2000 zu vergleichen, versicherte EU-Kommissionsvize Andrus Ansip. "Zu der Zeit hatten wir keinerlei Vorstellung von den Möglichkeiten der Massenüberwachung."
Bundesinnenminister Thomas de Maizière (CDU) begrüßte die Einigung. Er sprach von einem "wichtigen Schritt in Richtung auf Regeln, die für alle diesseits und jenseits des Atlantiks gelten". Als "großen Fortschritt" wertete es der Minister laut Mitteilung seines Hauses, dass sich die USA zur Einrichtung eines Ombudsmannes bereiterklärt hätten und es gemeinsame Berichtspflichten geben werde.
Die EU-Kommission führte für die Europäische Union Verhandlungen mit Vertretern der US-Regierung. Tausende Unternehmen, die auf die Regelungen angewiesen sind, haben nun Aussicht auf Rechtssicherheit. "Diese Vereinbarung ist unumgänglich, weil sie einen verlässlichen Rahmen für internationale Datentransfers schafft", kommentierte Markus Beyrer vom EU-Arbeitgeberdachverband Business Europe.
Die Organisation European Digital Rights ging davon aus, dass die "Notlösung" fehlschlagen werde.
Geplant ist nun nach EU-Angaben, dass das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwacht. Wer sich nicht an Standards hält, dem drohen Sanktionen.
Wer seine Datenschutz-Rechte im Namen der nationalen Sicherheit der USA verletzt sieht, könne sich an einen Ombudsmann wenden, der unabhängig von den US-Geheimdiensten sein soll, hieß es. Dies soll US-Außenminister John Kerry zusichern.
Die US-Seite sagt laut EU eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu. Beide Partner sollen die Umsetzung der Vereinbarungen jedes Jahr gemeinsam überprüfen. "Wenn es irgendwelche Probleme gibt, dann können wir sie sofort beheben", betonte Ansip. Die erste Überprüfung stünde laut Jourova im kommenden Jahr an.
Datenschutzaktivist Max Schrems, der das EuGH-Urteil zum Thema "Safe Harbor" erstritten hatte, sprach auf Twitter abfällig von einem "Bullshitbingo", also von erwartbaren Floskeln. Der Europaabgeordnete Albrecht bemängelte, dass die EU-Kommission nun nur auf Basis von Erklärungen der US-Regierung die Dinge anders einschätze als im Oktober 2015. Die Details seien unklar. Die Einigung sei "ein Witz".
Die politischen Vereinbarungen müssen nun aber noch umgesetzt werden, zudem muss die EU-Kommission förmlich feststellen, dass damit der Datenschutz in den USA gesichert ist. Dies dürfte der EU-Behörde zufolge einige Wochen dauern. Das Verhandlungsergebnis muss zudem von Vertretern der EU-Staaten bestätigt werden, auch das Europaparlament hat Prüfrechte. Eigentlich hatten die EU-Datenschutzbehörden eine Einigung bis zum 31. Januar gefordert. Sie sollen sich am Mittwoch in Brüssel äußern.
