Kommentar „Privacy Shield“-Abkommen: Schutzschild als Scherzartikel

K önnen Unternehmen wie Facebook und Amazon die Daten von europäischen Bürgern weiterhin in den USA speichern und verarbeiten? Die EU-Kommission will die digitale Kooperation sicherstellen und hat eine Neuregelung beschlossen. Die aber ist ebenso windelweich wie mangelhaft.

Grundsätzlich gilt die Vorgabe der EU-Datenschutzrichtlinie von 1995: Daten von EU-Bürgern dürfen nur dann ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutzniveau herrscht. In den USA besteht jedoch kein angemessener Datenschutz.

Deshalb vereinbarte die EU-Kommission mit den USA im Jahr 2000 Mindeststandards, die US-Firmen einhalten müssen, wenn sie europäische Daten verarbeiten. An solche „sicheren Häfen“ (safe harbours) durften Daten aus der EU dann doch transferiert werden. Diesen „Safe-Harbour“-Beschluss der EU-Kommission kippte der Europäische Gerichtshof (EuGH) im Oktober 2015.

Hauptgrund: Die EU-Kommission habe den fast grenzenlosen Zugriff der US-Sicherheitsbehörden ignoriert. Gegenüber US-Geheimdiensten wie der NSA seien die in den USA gespeicherten Daten von EU-Bürgern völlig ungeschützt. Jetzt hat die EU-Kommission mit der US-Regierung neue Standards ausgehandelt.

Unter anderem wollen die USA zusagen, dass es keine unterschiedslose Massenüberwachung von europäischen Daten in den USA gebe. Mit Beschwerden und Fragen könnten sich EU-Bürger an einen neu zu schaffenden Ombudsmann richten. Das Ganze soll nicht mehr „safe harbour“ genannt werden, sondern „privacy shield“ (Schutzschild für die Privatsphäre).

Ein machtloser Briefkasten-Onkel

Es ist zwar bemerkenswert, dass die USA überhaupt Zusagen machen. Diese können aber weder in der Form noch im Inhalt überzeugen. So sollen Zusicherungen der US-Seite zum Beispiel nur brieflich erfolgen, nicht aber durch verbindliche Änderung von US-Gesetzen.

Auch der ausdrückliche Verzicht auf die anlasslose Massenüberwachung von Europäern besagt wohl nicht viel. Vermutlich ist damit nur die längerfristige Überwachung und Speicherung gemeint, während das permanente Scannen von Lebensspuren in den USA nicht als Grundrechtseingriff gilt.

Schließlich wird auch der neue US-Ombudsmann, an den sich Europäer mit Beschwerden werden können, wohl nur ein machtloser Briefkasten-Onkel sein. Mehr ist von den USA derzeit nicht zu erwarten (erst recht nicht unter einem möglichen Präsidenten Trump). Weitere Verhandlungen werden also auch keine substanziellen Verbesserungen bringen.

Falls die EU-Kommission auf dieser Grundlage erneut grünes Licht für den Datentransfer in die USA gibt, wird sie wohl erneut am Europäischen Gerichtshof scheitern. Denn der angebliche Schutzschild erfüllt dessen Vorgaben nicht. Als Lösung bleibt vorerst also nur, dass auch US-Firmen wie Facebook, Amazon und Google die Daten europäischer Bürger ausschließlich in europäischen Rechenzentren verarbeiten dürfen.

Erst wenn die US-Geheimdienste ihren Anspruch auf totale Informationskontrolle aufgeben, ist eine neue belastbare Safe-Harbour-Vereinbarung möglich.