Safe Harbor 2.0: EU-US Privacy Shield

Das neue Datenschutzschild hat Löcher

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Erste Details zum Privacy Shield sind bekannt. Deutsche Datenschützer sehen aber schon vor der endgültigen Ausarbeitung des Abkommens durch die EU-Kommission einige Lücken im Datenschutzschild.
Erste Details zum Privacy Shield sind bekannt. Deutsche Datenschützer sehen aber schon vor der endgültigen Ausarbeitung des Abkommens durch die EU-Kommission einige Lücken im Datenschutzschild. (Bild: Andrus Ansip)

Kurz nach Ablauf der Frist meldet die EU-Kommission, sich mit den amerikanischen Verhandlungspartnern auf eine neue Grundlage für den Datentransfer zwischen der EU und den USA geeinigt zu haben. Datenschützer sehen dies kritisch.

Die vom Europäischen Gerichtshof (EuGH) für ungültig erklärte (pdf) Safe-Harbor-Entscheidung lief am 1. Februar 2016 ohne Ersatz aus, die von den EU-Datenschutzbehörden gesetzte Frist ist um.

Nachdem bereits die Befürchtungen geäußert wurden, Europa könne nun zur Dateninsel werden, da viele Datentransfers zwischen Unternehmen in der EU und den USA nun eine neue Rechtsgrundlage benötigen, meldete die EU-Kommission Vollzug: Man habe sich mit den amerikanischen Verhandlungspartnern auf eine neue Grundlage für den Datentransfer zwischen der EU und den USA geeinigt. Die neue Übereinkunft soll "EU-US Privacy Shield" heißen. Die US-amerikanische Handelsministerin Penny Pritzker ist in einem Video-Statement voll des Lobes über die neue Vereinbarung.

Grundlegende Eckpunkte des geplanten Datenschutzschilds sind: In einem Beschwerdeverfahren können betroffene EU-Bürgerinnen und -Bürger mit Unterstützung eines Ombudsmanns gegen Datenschutzverstöße durch Geheimdienste vorgehen, Beschwerden bei Datenschutzbehörden sollen möglich sein. Das Abkommen wird von der Federal Trade Commission (FTC) überwacht und jährlich von der EU-Kommission evaluiert. Bei Verstößen müssen die Unternehmen mit Sanktionen rechnen, die zu einer Streichung von der „Liste“ führen können.

Die Frage nach der Dichtigkeit des Schirms steht im Raum

Entscheidend sind dabei aber die Fragen, wer die Unternehmen auf die Liste setzt, wie die Einhaltung welcher Kriterien genau kontrolliert wird und ob eine einmal jährliche Auditierung durch die EU-Kommission ausreichend ist. Zudem müssen die genauen Rechte des neuen Ombudsmanns geklärt werden.

Betrachtet man die Meldung der EU-Kommission, sieht es danach aus, dass sich die Unternehmen wie bisher selbst auf die „Liste“ setzen. Explizit wird von „Commitments“ gesprochen, nicht etwa von einer unabhängigen Zertifizierung oder externen Kontrolle, die zum Beispiel die deutschen Aufsichtsbehörden seit langem fordern.

Die deutschen Datenschützer hatten als Minimalforderung (pdf) an ein zuverlässiges Safe Harbor genannt: Die Zweckbindung der Daten ist grundsätzlich sicherzustellen. Staatliche Zugriffsmöglichkeiten müssen auf ein angemessenes und grundrechtskonformes Maß begrenzt bleiben. Den Betroffenen ist ein effektiver Anspruch auf Auskunft und auf Berichtigung bzw. Löschung falscher bzw. unzulässig gespeicherter Daten zu gewähren. Bei Verstößen bedarf es eines effektiven Rechtsschutzes. Formelle und sprachliche Barrieren dürfen nicht dazu führen, dass die Betroffenen ihre Rechte nicht wahrnehmen können. Wie diese Forderungen konkret umgesetzt werden, muss sich in den Ausformulierungen zeigen, die die EU-Kommission noch erstellen will.

Datenschützer wollen kritisch prüfen

„Es ist erfreulich, dass die von Seiten der Datenschutzaufsicht gesetzte Frist maßgeblich dazu beigetragen hat, die seit Jahren festgefahrenen Verhandlungen über eine Safe Harbor Nachfolge zu einem – hoffentlich positiven – Abschluss zu bringen. Es bleibt abzuwarten, ob und vor allem wie schnell die Ankündigung der Vereinbarung auch umgesetzt wird“, so die Bundesdatenschutzbeauftragte. „Zudem wird sehr genau zu prüfen sein, ob diese neue Vereinbarung tatsächlich die notwendigen Garantien für rechtskonforme Datenübermittlungen in die USA erfüllen kann. Nachdem der EuGH den vermeintlich sicheren Hafen für unsicher erklärt hat, muss sichergestellt werden, dass der neue „EU-US Datenschutzschild“ auch wirklich seinen Namen verdient und nicht an den entscheidenden Stellen löchrig ist“.

Problematisch dürfte in jedem Fall sein, dass zum Beispiel unklar ist, wie sich die nach Datenschutzrecht in der EU vorgesehenen Kontrollrechte und Kontrollpflichten der Auftraggeber bei Cloud Computing in den USA mit dem geplanten EU-US Privacy Shield umsetzen lassen sollen. Selbst Datenschutz-Zertifikate, wie sie heute in Deutschland oder in der EU offeriert werden, entbinden bislang den Cloud-Nutzer nicht von der Verantwortung für die Datenschutzkontrolle. Ein „Commitment“ der US-Provider erscheint nicht geeigneter als eine solche Zertifizierung, im Gegenteil, sofern die Zertifizierung nicht auf eine Selbstauskunft, sondern auf eine unabhängige Zertifizierung aufbaut.

Ein Datenschutzschild braucht mehr als Commitments

Es bleibt festzuhalten: Wenn die europäische Rechtsprechung und die Datenschutzbehörden in der EU bei ihrem bisherigen Kurs bleiben - wovon auszugehen ist-, wird man sich nicht mit einem Commitment der US-Unternehmen zufrieden geben können, da Commitments ja letztlich eine Selbstauskunft darstellen. Es ist mehr notwendig als eine Überwachung und mögliche Streichung von der „Liste“. Erforderlich ist, dass nur der unter den neuen Schirm darf, dessen Datenschutzniveau von einer unabhängigen Stelle bestätigt wird. Andernfalls wird es zweifellos durch den neuen Schirm regnen, denn dann hat er Datenschutz-Löcher.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43847946 / Compliance und Datenschutz )