Datentausch: EU-US-Privacy Shield tritt in Kraft

Das neue EU-US-Privacy Shield ist so gut wie in trockenen Tüchern. Ab 1. August können sich europäische Unternehmen für die Teilnahme an dem neuen Verfahren anmelden und (personenbezogene) Daten in die USA übermitteln.

Als Nachfolger für das gescheiterte Safe-Harbor-Abkommen verspricht es einen hohen Standard an Datensicherheit und Schutz vor Überwachung und Ausspähung – aber hält das neue Privacy Shield-Abkommen tatsächlich, was es verspricht?

EuGH erklärt Safe-Harbor-Abkommen für ungültig

Im Herbst 2015 hatte der Europäische Gerichtshof das sogenannte „Safe-Harbor-Abkommen“ mit den USA gekippt. Auf dessen Grundlage hätten europäische Unternehmen personenbezogene Daten in die USA übermitteln können.

Fehlende Richtlinien waren dem EuGH ein Dorn im Auge – insbesondere gab es keine Garantie dafür, dass US-Behörden nicht auf die übermittelten Daten hätten zugreifen können.

Insbesondere bemängelte der Gerichtshof, dass es keine Kontrollmöglichkeiten zur Überprüfung der ausgehandelten Datenschutzrichtlinien gäbe. Auch hätten Personen keine Möglichkeit gehabt, ihre Betroffenenrechte (z.B. Einsicht in die Daten, Berichtigung sowie Löschung) in den Staaten durchzusetzen.
 

Privacy Shield – wie sicher ist es?

Analog zum früheren Safe-Harbor-Abkommen liegt auch Privacy Shield ein Angemessenheitsbeschluss der EU-Kommission zugrunde – dabei unterscheidet es sich allerdings fundamental von seinem Vorgänger.

Bei seiner Konzeption wurde ein deutlich stärkerer Fokus darauf gelegt, dass Daten übermittelnde Unternehmen aus Europa und insbesondere auch betroffene Personen in den USA Rechtssicherheit genießen.

Dieser Umstand wird zusätzlich durch eine schriftliche Zusage der US-Regierung unterstrichen. Darin haben die Verantwortlichen zugesichert, dass Behörden der Vereinigten Staaten (inklusive deren Geheimdienste!) nur in einem sehr engen Rahmen Zugriff auf die Daten nehmen können – nach Meinung der zuständigen EU-Kommission ist damit zumindest eine willkürliche Massenüberwachung, wie es insbesondere die Kritiker des vormaligen Safe-Harbor-Abkommens immer wieder ins Feld geführt haben, nicht mehr möglich.

US-Gesetzeslage ist nicht EU-Gesetzeslage

Aber genau das ist der springende Punkt: Der Zugriff auf die Daten durch US-Geheimdienste und Behörden wird explizit nicht ausgeschlossen, was auch bei bereits bei Safe-Harbor heftigst kritisiert worden ist. Ob das neue Abkommen daher die erhoffte Sicherheit bringen wird, darf bezweifelt werden.

Die neu ausgehandelten Standards des EU-US-Privacy Shields entsprechen zwar europäischen Datenschutzstandards, sehen darüber hinaus Kontrollmöglichkeiten und sogar Sanktionen im Falle von Verstößen vor – aber an der Gesetzeslage in den USA ändern sie eben nichts.

Nach der US-Rechtslage dürfen Geheimdienste und (Ermittlungs-)Behörden in Verdachtsfällen ausgiebige Überwachungen vornehmen – diese Rechtslage gilt auch für Daten, die durch europäische Unternehmen in die USA übermittelt wurden.

Ausdrücklich sieht Privacy Shield deshalb Ausnahmen von den strengen europäischen Datenschutzvorgaben vor, soweit das Gesetz es erlaubt, oder sofern die Missachtung der neuen Grundsätze aus Gründen der nationalen Sicherheit, zum Zwecke der Rechtsdurchsetzung oder aus anderen öffentlichen Interessen notwendig ist.

Datentausch mit den USA: Das Ende der Datensicherheit?

Ändert sich also doch nichts? Kommt das zu Recht verschmähte Safe-Harbor-Abkommen nur in einem „anderen Gewand“? Und werden wir bald alle von US-Behörden überwacht, ohne uns wehren zu können? Die Antwort: Nein. Ganz so schlimm ist es zum Glück nicht.

Zwar hat die EuGH-Kommission sich in ihrem Angemessenheitsbeschluss grundsätzlich für das neue Abkommen ausgesprochen. Aber abzuwarten bleibt, wie die europäischen Aufsichtsbehörden darauf reagieren werden. Denn – und darauf weist der EuGH explizit hin – es liegt im grundlegenden Aufgabenbereich der Aufsichtsbehörden, die Einhaltung europäischer (Datenschutz-)Richtlinien sicherzustellen. Diese Verantwortlichkeit sei nicht einfach durch einen Angemessenheitsbeschluss zu umgehen. Es ist also denkbar, dass die Aufsichtsbehörden eine Datenlieferung in die USA auf Grundlage des neuen Privacy Shield-Abkommens untersagen werden.

Was aber deutlich spannender werden dürfte: Abzuwarten bleibt, wie der EuGH auf eine erneute Vorlage nationaler Gerichte reagieren wird, die sich mit der Übermittlung von personenbezogenen Daten durch europäische Unternehmen in die USA befassen. Wir halten Sie dazu weiter auf dem Laufenden!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.