Nachdem das „Safe Harbor“-Abkommen im Oktober 2015 wegen unzureichendem Datenschutz vom Europäischen Gerichtshof gekippt wurde, haben sich die EU und die USA mit dem „EU-U.S. Privacy Shield“ auf eine neue Version geeinigt.
Das neue Datenschutzabkommen nennt sich „EU-U.S. Privacy Shield“ und regelt die Datenverarbeitung personenbezogener Angaben von europäischen Kunden, die in die USA übermittelt wurden. Unternehmen, die sich für das Datenschutzabkommen zertifizieren lassen wollen, versprechen, dass sie sich an die rechtlichen Vorgaben halten. Dann dürfen sie die persönlichen Daten ihrer Kunden in die USA übertragen und dort verarbeiten.
Zusätzlich soll durch das neue Abkommen auf anlasslose Massenüberwachung durch US-amerikanische Sicherheitsbehörden verzichtet werden. Das bedeutet allerdings nicht, dass europäische Daten vor den amerikanischen Behörden komplett sicher sind. Es gibt auch im neuen Abkommen Ausnahmen. Massenhafte Datenerfassungen bleiben erlaubt, wenn es sich dabei um Terrorismusbekämpfung, Spionageabwehr, Verhinderung der Verbreitung von Massenvernichtungswaffen, Gefahrenabwehr bei einer Bedrohung amerikanischer oder verbündeter Streitkräfte, Bekämpfung internationaler Kriminalität oder auch um Bedrohung der Cybersicherheit handelt. Die erhobenen Daten dürfen dabei in der Regel fünf Jahre gespeichert werden – sollte der Inhalt von nationalem Interesse sein, können sie aber auch länger aufbewahrt werden.
Rechte für EU-Bürger
Wenn EU-Bürger ihre Rechte und personenbezogenen Daten durch amerikanische Nachrichtendienste verletzt sehen oder Nachfragen haben, was mit ihren Daten passiert, sollen sie sich an eine Ombudsperson, also eine unparteiische Schiedsperson, im amerikanischen Außenministerium wenden. Diese Person soll sogar im Einzelfall Zugriff auf geheime Dokumente beantragen können, um eventuelle Verstöße zu finden und zu melden.
EU-Bürger bekommen darüber hinaus verschiedene Möglichkeiten, sich gegen Datenschutzverletzungen zu wehren: Bei Beschwerden können sie sich direkt an die Unternehmen wenden. Diese sind verpflichtet innerhalb von 45 Tagen zu antworten. Weiterhin sollen kostenlose Schlichtungsverfahren möglich sein. Zertifizierte Firmen, die Daten aus Europa verarbeiten, sollen von der amerikanischen Federal Trade Commission, einer Aufsichtsbehörde, überwacht werden, um die Einhaltung des Privacy Shields zu gewährleisten. Beschwerden können an die eigene nationale Datenschutzbehörde gerichtet werden. Diese muss innerhalb von 90 Tagen antworten. Sollte alles nichts helfen, gibt es noch das Schiedsverfahren vor mindestens 20 Schiedsrichtern, die vom US-Handelsministerium und der EU-Kommission ernannt werden. Theoretisch sollen EU-Bürger auch gegen US-Behörden klagen können, wenn es um Datenschutzverletzungen geht. Hier sind aber Fälle ausgeschlossen, bei denen es um „Interessen der inneren Sicherheit der USA“ geht.
Unzufriedenheit bei Datenschützern
Auch Datenschützer sind mit dem Privacy Shield nicht zufrieden. Netzaktivist Max Schrems bezeichnet das neue Abkommen beispielsweise als „ein Schwein mit zehn Lagen Lippenstift“. Er sagt, man versuche mit einigen Behübschungen, das illegale Safe-Harbor-System wiederzubeleben, die grundsätzlichen Probleme der US-Massenüberwachung und der Nonexistenz von US-Datenschutz seien aber nicht gelöst. Auch Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, erklärte: „Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind alles andere als gelöst. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, hat sich die EU-Kommission eine Mogelpackung andrehen lassen.“
Auch wenn sich die USA und die EU auf ein neues Abkommen geeinigt haben – entschieden ist an dieser Stelle noch nichts. Bevor die EU-Kommission das Privacy Shield aktivieren kann, müssen noch ein paar Änderungen vorgenommen werden. Die Datenschutzbehörden der EU-Mitgliedsstaaten – auch bekannt als Vertreter der „Artikel-29-Gruppe“ – haben Bedenken angemeldet und Korrekturen gefordert. „Sicherlich ist es erkennbar, dass das Privacy Shield Verbesserungen im Vergleich zur Vorgängerübereinkunft Safe Harbor enthält. Gleichwohl ist die Kommission angesichts der in der Stellungnahme der Artikel-29-Gruppe aufgezeigten Bedenken und offenen Fragen in der Pflicht, in Verhandlungen mit den US-amerikanischen Partnern die erforderlichen Anpassungen in der Adäquanzentscheidung vorzunehmen, um ein erneutes Scheitern vor den europäischen Gerichten zu vermeiden“, sagte die Bundesdatenschutzbeauftragte Andrea Voßhoff.
Zusätzlich dürfen sich auch die Mitgliedsstaaten mit dem Abkommen auseinandersetzen und der vorgelegte Form zustimmen oder sie ablehnen. Der Europäische Datenschutzbeauftragte darf ebenfalls Stellung beziehen. In einer finalen Version soll das Abkommen laut der EU-Kommission im Juni 2016 abgenommen werden.