[IITR – 1.3.16] „Vertrauen ist der Schlüssel für den transatlantischen Datenverkehr“, twitterte EU-Justizkommissarin Vera Jourová am Montag, kurz bevor sie ihre schriftlichen Ausarbeitungen für den neuen „EU-US Privacy Shield“ der Öffentlichkeit präsentierte. Die Kernfrage dreht sich darum, ob die Grundrechte europäischer Bürger auch dann noch gewährleistet sind, wenn deren Daten in den USA verarbeitet werden. Eine zentrale Rolle spielt dabei, wie die US-Nachrichtendienste mit den Daten umgehen dürfen.
Der Zeitplan sieht vor, dass die Artikel-29-Datenschutzgruppe (am 12./13.4.2016) und die Mitgliedstaaten den Entwurf kommentieren. Danach wird die Kommission den Entwurf so beschließen oder eventuell auch erneut mit den USA verhandeln. Letzteres ist im Moment unwahrscheinlich, da Kommissionspräsident Jean-Claude-Juncker Ende Januar darauf bestanden hatte, die Verhandlungen abzubrechen, um termingerecht einen vorläufigen Entwurf präsentieren zu können.
Ohne Nachverhandlungen wird die neue Vereinbarung frühestens in einem Jahr in Kraft treten. Bis dahin müssen sich transatlantische Datentransfers auf alternative Rechtsinstrumente wie die EU-Standard-Vertragsklauseln, die Binding Corporate Rules und die freiwillige Einwilligung stützen. Tun sie das nicht, drohen Sanktionen. Die Hamburger Datenschutz-Aufsichtsbehörde hat vor wenigen Tagen bereits drei Bußgeldverfahren eingeleitet, zwei weitere befinden sich in Vorbereitung.
Um den transatlantischen Datenverkehr aufrecht zu erhalten, setzt der von Jourová vorgelegte Entwurf für eine Äquivalenzentscheidung auf einen Brief aus der Feder von Robert S. Litt, Justiziar des Geheimdienstbeauftragten James Clapper. Demnach soll die massenhafte Überwachung auf sechs Fälle beschränkt: Cybersecurity, die Verfolgung internationaler krimineller Bedrohungen (incl. der Umgehung von Sanktionen), die Terrorismusbekämpfung, die Spionageabwehr, die Verhinderung der Verbreitung von Massenvernichtungswaffen sowie Bedrohungen der US-Armee und ihrer Alliierten.
Vertrauen ist gut, Kontrolle besser
Jourová vertraut im Moment darauf, dass eine Beschränkung der Überwachungsmaßnahmen auf bestimmte Kernbereiche genügt. Auch verweist sie auf das geplante Rahmenabkommen für den Datenschutz im Strafverfolgungsbereich sowie den kürzlich verabschiedeten Judicial Redress Act, der EU-Bürgern Klagemöglichkeiten gewährt.
Hinzu kommt die neue Einrichtung des Ombudsmanns im US-Außenministerium, an den sich EU-Bürger bei Beschwerden und Nachfragen wenden können. Dieser Ombudsmann ist zwar „unabhängig von den Nachrichtendiensten“, verfügt aber über keinen eigenen Haushalt. Auch ist unbekannt, ob er lediglich juristische Auskünfte anfertigen wird oder auch selbst in den Sicherheitsbehörden Kontrollen durchführen und Missstände sanktionieren wird.
Ansonsten gibt es außer Willensbekundungen nichts Neues: So möchte die Aufsichtsbehörde FTC künftig stärker kontrollieren, ob sich die Unternehmen an ihre Selbstverpflichtung halten. Gegebenenfalls will sie mit Sanktionen reagieren, die bis zur Untersagung des transatlantischen Datenverkehrs führen können. Das ist im Kern nichts Neues, da sie ähnliches auch schon bei der Verabschiedung des alten Safe-Harbor-Abkommens vor 15 Jahren versprach.
Neu ist hingegen eine Frist: Unternehmen müssen außerdem Bürgereingaben binnen 45 Tage bearbeiten. Tun sie das nicht, können die Betroffenen ein kostenloses Schiedsverfahren anrufen bzw. eine Beschwerde bei ihrer zuständigen Datenschutz-Aufsichtsbehörde einreichen. Um den Vereinbarungen etwas Nachdruck zu verleihen, wollen beide Seiten einmal jährlich kontrollieren, ob sie eingehalten werden.
Entwurf stößt auf Kritik
Der Verband der Internetwirtschaft eco begrüßte es im Sinne eines „Weiter so!“, dass die Kommission den Entwurf vorgelegt und sich damit „zum Wohl der Unternehmen“ an ihren Zeitplan gehalten hat. Der Entwurf sei ein „wichtiger Schritt bei der Schaffung der längst überfälligen Rechtssicherheit“, kommentierte eco-Vorstand Oliver Süme.
Der grüne Europaparlamentarier Jan Philipp Albrecht, der federführend die EU-Datenschutzgrundverordnung verhandelte, kann im Entwurf allerdings „eher kosmetische Verbesserungen“ erkennen und hält den Rechtsschutz für „mehr als schwammig“. Er vermisst Gesetzesänderungen in den USA, die einen gleichwertigen Datenschutz garantieren würden. Die EU-Kommission müsse daher auf Nachbesserungen bestehen. Er rät mit Blick auf die Datenschutzverordnung die Privacy-Shield-Regelung auf zwei Jahre zu begrenzen und dann nachzuverhandeln.
Noch halten sich die Datenschutz-Aufsichtsbehörden mit einer Bewertung des Entwurfs eines „EU-US-Privacy Shields“ zurück. Die Deutsche Vereinigung für Datenschutz (DVD) zeigt sich jedoch „schockiert“. DVD-Vorstandsvorsitzender Frank Spaeing kann nicht nachvollziehen, „wie die EU-Kommissare Ansip und Jouravá die Behauptung aufstellen können, das Datenschutzschild entspräche den Anforderungen des Europäischen Gerichtshofs in Sachen Grundrechtsschutz und Rechtsschutzmöglichkeit.“ Aus den vorgelegten Dokumente könne man „nicht im Ansatz“ erkennen, wie die Massenüberwachung durch Sicherheitsbehörden effektiv begrenzt werde. Auch seien keine wirksamen Datenschutzinstrumente gegenüber den US-Firmen zu sehen.
DVD-Vorstandsmitglied Thilo Weichert kann nur „unwesentliche“ Unterschiede zum bisherigen Abkommen ausmachen. Er vermisst eine unabhängige Datenschutzkontrolle und kritisiert, dass der für die Geheimdienstkontrolle eingesetzte Ombudsmann „nicht wirklich unabhängig“ sein soll: „Eine unabhängige Rechtskontrolle, wie sie Art. 47 der Europäischen Grundrechtecharta fordert, sieht anders aus.“
Uneingeschränkte Datenverarbeitung
Die letzten Nachrichten klingen nicht unbedingt vertrauensbildend: So berichtete die New York Times, dass der US-Geheimdienst NSA künftig das Datenmaterial aus den Überwachungsmaßnahmen auch mit anderen amerikanischen Behörden wie dem FBI oder der CIA teilen darf. Dafür sollen die bestehenden Datenschutzmaßnahmen, die vor allem US-Bürger betreffen, gelockert werden und ein 21-seitiger Regelkatalog aufgesetzt werden. Die Arbeiten dazu gehen auf eine Executive Order aus dem Jahr 2008 unter dem früheren US-Präsidenten George W. Bush zurück. Für den Regelkatalog zuständig ist Robert S. Litt.
Die Idee dahinter ist wohl, dass mehr Augen auch mehr Sinn in dem unverarbeiteten Datenmaterial erkennen können. Offenbar stößt die NSA mit der Analyse von Big Data an ihre Grenzen. US-Bürgerrechtler kritisieren aber, dass damit wohl auch die Daten von Amerikanern in mehr Hände gelangen. Das dürfte auch für die Daten der Europäer gelten, für die keine gesonderten Verarbeitungsregeln erwähnt werden. Edward Snowden kommentierte die Pläne trocken mit: „Für wie schlimm du das auch immer halten magst, ich verspreche: es ist schlimmer.“
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.