Neuer Datenschutzschild

Da stand die EU mal wieder mächtig unter Druck: Anfang Februar war eine Amnestie-Frist abgelaufen. Diese hatte es Unternehmen ermöglicht, personenbezogene Daten sanktionsfrei aus der EU in die USA zu übermitteln, obwohl der Europäische Gerichtshof (EuGH) mit dem Safe-Harbor-Abkommen die rechtliche Grundlage dazu aufgehoben hatte. Es drohte also, dass Facebook, Google und Co. bestraft würden, weil sie Daten ohne Rechtsgrundlage über den Atlantik geschaufelt hätten.

Am 2. Februar verkündete Andrus Ansip, zuständiger Vizepräsident der EU-Kommission, die Geburt eines Ersatzabkommens mit den USA. Der „EU-US Privacy Shield“ soll es nun richten. Verwundert stellten Berichterstatter allerdings bald fest, dass es bisher keinerlei verbindliche Vertragstexte gibt, sondern nur die Einigungserklärung.

Noch im Februar will Justiz-Kommissarin Vˇera Jourová immerhin den endgültigen Vertragstext vorstellen. Das neue Abkommen will die Kontrolle verstärken: Europäische Datenschutz-Aufsichtsbehörden sollen Entscheidungen treffen dürfen, an die sich die US-Unternehmen halten müssen. Wie schon im Safe-Harbor-Abkommen sollen sich die Unternehmen über Selbstverpflichtungen zu einem hohen Datenschutzstandard bekennen. Das US-Handelsministerium will diese Selbstverpflichtungen veröffentlichen, damit die Federal Trade Commission (FTC) bei Verstößen gegen Unternehmen vorgehen kann. Wenn eine Firma den Forderungen der US-Behörde nicht nachkommt, soll sie den Datentransfer sogar untersagen.

Vorgesehen sei auch, dass die datenverarbeitenden Konzerne Beschwerden von Bürgern innerhalb bestimmter Fristen beantworten müssen. Bei seinem Urteil gegen Safe Harbor hatte der EuGH insbesondere moniert, dass das Abkommen den Zugriff von US-Geheimdiensten auf personenbezogene Daten von EU-Bürgern nicht verhindere. Im „EU-US Privacy Shield“ soll ein Bürgerbeauftragter dieses Problem lösen. Dieser Ombudsmann soll die geforderten Rechte der EU-Bürger auf individuelle Einsichtnahme und eine Beschwerdemöglichkeit formal umsetzen.

Die EU-Kommission betont, dass die US-Unterhändler schriftlich zugesichert hätten, der Geheimdienst-Zugriff erfolge zu „rechtlich ganz klar festgelegten Bedingungen, unter strenger Aufsicht und in begrenztem Umfang“. Er solle auf Gründe der „nationalen Sicherheit“ beschränkt sein. Die schriftliche Erklärung über die Regeln für die US-Geheimdienste stammt allerdings ausgerechnet aus der Feder von US-Geheimdienstkoordinator James Clapper, der schon in der Vergangenheit den US-Kongress nicht korrekt über das Ausmaß der NSA-Überwachung informiert hat.

Europäische Datenschützer bezweifeln, dass der geplante Datenschutzschild einer Überprüfung des EuGH standhalten kann – falls er überhaupt kommt wie angekündigt. Entscheidend dürfte sein, welche Befugnisse der Bürgerbeauftragte erhält. Die Ergebnisse seiner Kontrolle müssen zu Berichtigungen der Abhörpraxis führen können, gegebenenfalls auch zu Sanktionen. Die EU-Datenschutz-Aufsichtsbehörden werden wie das Europäische Parlament den finalen Entwurf des Abkommens kommentieren, haben jedoch kein Vetorecht. Der Kommission steht es daher frei, den Vertrag mit den USA nach Erledigung aller bürokratischen Hürden in etwa einem Jahr abzuschließen. Bis dahin behelfen sich US-Unternehmen mit alternativen Rechtsinstrumenten wie den EU-Standardvertragsklauseln oder den verbindlichen Unternehmensregeln.

Tun sie das nicht, steht nach Ablauf der Amnestiefrist Ärger ins Haus. Als erste europäische Datenschutzbehörde machte die französische CNIL Ernst und erteilte Facebook am 9. Februar offiziell eine Rüge, weil es nach wie vor persönliche Daten seiner europäischen Nutzer auf Basis des Safe-Harbor-Abkommens in die USA übermittle. Facebook behauptet zwar, die Datenübertragung mit alternativen Rechtsinstrumenten zu legalisieren, doch dies konnten die Aufsichtsbehörden bislang nicht nachvollziehen. Die CNIL hat Facebook eine Frist von drei Monaten gesetzt, um sich rechtskonform zu verhalten. Kommt Facebook dem nicht nach, drohen juristische Sanktionen bis hin zur Untersagung des Datentransfers. (hob@ct.de)