EU-US-Datenschutzabkommen geprüft
Eine erste Bestandsaufnahme zum EU-USA-Datenschutzpakt „Privacy Shield“ fiel dies- und jenseits des Atlantiks recht positiv aus: In den ersten 12 Monaten haben sich rund 2400 Unternehmen für den Schutzschirm zertifiziert, darunter große Konzerne wie Google, Facebook und Amazon. In dem Abkommen ist geregelt, dass EU-Bürger in den USA ein ähnliches Datenschutzniveau garantiert bekommen wie in Europa. Beispielsweise sollen ihre gespeicherten Daten von der US-Massenüberwachung ausgenommen sein.
Die Vereinbarung „funktioniert gut“, erklärte EU-Justizkommissarin Věra Jourová bei der Präsentation des ersten jährlichen Prüfberichts. Allerdings forderte sie „eine aktivere und regelmäßigere Kontrolle der Einhaltung der Datenschutzpflichten durch die beteiligten Unternehmen von Seiten des US-Handelsministeriums“. Offenbar versuchen Firmen, mit falschen Angaben an eine Zertifizierung zu gelangen. Außerdem drängt die Kommission darauf, dass die US-Regierung die im Abkommen vorgesehene Stelle einer Ombudsperson fest besetzt. Seit 12 Monaten agiert die Diplomatin Judith Garber lediglich kommissarisch.
Probleme für das Privacy Shield sieht die Kommission mit von US-Präsident Donald Trump angekündigten Gesetzesänderungen aufziehen. So könnte die zum Jahreswechsel anstehende Reform des Foreign Intelligence Surveillance Act (FISA) dazu führen, dass von Barack Obama 2014 errichtete Schranken zum Schutz von Nicht-US-Bürgern bei der Überwachung fallen. EU-Kommissarin Jourová wurde an dieser Stelle deutlich: „Ich habe meine US-Kollegen informiert, dass ich im Falle einer Verschlechterung der relevanten Gesetze nicht zögern werde, dem ‚Privacy Shield‘ den Stecker zu ziehen.“
Derweil sind die obersten EU-Datenschützer – organisiert in der sogenannten „Artikel-29-Gruppe“ – verschnupft, weil ihre Meinung in dem Kommissionsbericht keine Rolle spielt. Die Bundesdatenschutzbeauftragte Andrea Voßhoff etwa betonte gegenüber c’t, „nur in Bezug auf die faktischen Grundlagen beteiligt“ gewesen zu sein. Die Schlussfolgerungen seien ohne die Datenschutzbeauftragten erarbeitet worden und gäben so „ausschließlich die Auffassung der Kommission wieder“. Deshalb erarbeitet die Artikel-29-Gruppe bis Ende November einen eigenen Bericht, der voraussichtlich deutlich kritischer ausfällt. (hob@ct.de)