Der Schokoriegel Raider wurde 1991 in Twix umbenannt, die Zutaten blieben dieselben. Foto: Paradoctor (Own work) CC BY-SA 3.0, via Wikimedia Commons

Von Safe Harbour zu Privacy Shield

Aus Raider wird jetzt Twix, sonst ändert sich nix!

Erstellt am 12.12.2016

Dieser Beitrag wird neben weiteren Artikeln Teil unserer neuen Broschüre "Datenschutz im digitalen Zeitalter" sein, die im Januar 2017 erscheinen wird.

 

Im Gegensatz zu anderen Grundrechten wie der Meinungsfreiheit oder der Freizügigkeit ist Datenschutz kein Grundrecht, dass die Betroffenen unmittelbar ausüben können. Während ich meine Meinungsfreiheit einfach nutzen kann, indem ich etwas sage, brauche ich für die Ausübung zum Beispiel des Rechts auf Auskunft oder Löschung meiner Daten die Kooperation der Datenverarbeiter. Die neue EU-Datenschutz-Grundverordnung wird mit ihren starken Sanktionsmöglichkeiten dazu beitragen, dass auch bisher unwillige Datenverarbeiter in Zukunft besser kooperieren und uns unsere Rechte innerhalb der EU auch wirklich ausüben lassen.

 

Datenschutz-Rechte reisen mit den Daten

Bei Übermittlungen von personenbezogenen Daten in Drittstaaten außerhalb der EU muss sichergestellt sein, dass die Betroffenen ihre Rechte auch nach dem Transfer weiterhin ausüben können. Ist dies nicht der Fall, darf der Transfer nicht stattfinden. Hat das Empfängerland kein mit den EU-Standards vergleichbares Datenschutzgesetz, kann der Verarbeiter in der EU (etwa Facebook Irland) sich allerdings vom Empfänger im Drittstaat (etwa Facebook USA) zivilrechtlich zusichern lassen, dass die Daten nach EU-Standards verarbeitet werden und die Betroffenen dieselben Rechte haben. Dazu gibt es von der EU-Kommission zertifizierte Standardvertragsklauseln. Die Datenverarbeiter können auch individualisierte Vertragsklauseln nutzen, sofern die zuständige Datenschutzbehörde in ihrem EU-Staat dies genehmigt hat.

Ein Beispiel für ein solches Verfahren ist die Privacy Shield-Vereinbarung zwischen der EU und den USA, die die Europäische Kommission am 12. Juli 2016 offiziell angenommen hat. Auf dieser Basis dürfen amerikanische Unternehmen nun wieder persönliche Daten aus der EU erhalten und weiterverarbeiten. Die Vorgängerregelung Safe Harbour, die seit dem Jahr 2000 bestand, war nämlich im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden. Wie kam es dazu, und welche Probleme bestehen weiterhin?

 

Problemfall USA

Die USA haben bereits seit dem Jahr 1974 einen Federal Privacy Act, der allerdings nur die Datenverarbeitung öffentlicher Behörden regelt. Im Privatsektor gibt es bis heute kein umfassendes Datenschutzgesetz. Stattdessen bestehen für bestimmte Sektoren oder Nutzergruppen Spezialgesetze. Für Telekommunikationsanbieter gilt der Electronic Communications Privacy Act aus dem Jahr 1986. Dieser erfasst aber nicht die Anbieter von Online-Diensten, darunter so große Unternehmen wie Google, Facebook, Yahoo oder Amazon, ebenso wenig die Web-Tracker, die im Hintergrund laufen oder die so genannten Data-Brokers, also Unternehmen wie Acxiom, LexisNexis, Abacus oder ChoicePoint, die große Mengen an persönlichen Daten sammeln und an andere Unternehmen weiterverkaufen.

 

Die Entstehung von Safe Harbour

Nach dem Inkrafttreten der EU-Datenschutzrichtlinie aus dem Jahr 1995 begann hektische Verhandlungsdiplomatie zwischen Brüssel und Washington, als die US-Regierung merkte, dass amerikanische Unternehmen vom Datenaustausch mit der EU abgeschnitten zu werden drohten. Leider verabschiedete die US-Regierung kein umfassendes Datenschutzgesetz. Der Kompromiss bestand am Ende aus einer Hybrid-Lösung zwischen europäischer Gesetzesregelung und amerikanischer Selbstzertifizierung: Amerikanische Unternehmen, die sich freiwillig einer Reihe von Datenschutzprinzipien unterwarfen und dies beim US-Handelsministerium anmeldeten, galten als „sicherer Hafen“ und konnten persönliche Daten aus der EU empfangen und weiterverarbeiten. Diese Einigung aus dem Jahr 2000 ist daher unter dem Namen Safe Harbour bekannt und mit einer Entscheidung der EU-Kommission rechtlich verankert.

Safe Harbour wurde bereits vor der Verabschiedung von Datenschützerinnen und -schützern und vom Europäischen Parlament als ungenügend kritisiert. Die Zusicherungen der USA bestanden eben nicht wie in anderen als angemessen anerkannten Drittstaaten aus gesetzlichen Regeln, sondern aus einer Reihe von Schriftstücken und Briefen im Anhang der Kommissionsentscheidung, denen sich die US-Unternehmen freiwillig unterwarfen. Zudem waren die Beschwerdemöglichkeiten nicht für alle Betroffenen in der EU sichergestellt und Unternehmen, die bei Verstößen erwischt wurden, hatten keinerlei Pflicht auf Schadensersatzzahlungen. Mehrere Studien kamen in den folgenden Jahren übereinstimmend zu dem Ergebnis, dass die Selbstzertifizierung nicht funktionierte – so hatten hunderte der Unternehmen auf der Safe Harbour-Liste des US-Handelsministeriums nicht einmal ihre Datenschutzregeln veröffentlicht.

 

Ende von Safe Harbour durch Snowden und Schrems

Als durch die Enthüllungen des ehemaligen NSA-Mitarbeiters und Whistleblowers Edward Snowden seit Juni 2013 klar wurde, in welch massivem Umfang US-Geheimdienste auch Daten von privaten Unternehmen auswerten, stellte sich sofort die Frage nach der Zukunft von Safe Harbour. Das Europäische Parlament forderte mehrfach, die Vereinbarung sofort auszusetzen. Die EU-Kommission folgte dem nicht, sondern begann zunächst Gespräche mit den USA unter der Zielsetzung, eine neue Vereinbarung zu verhandeln.

Der österreichische Jurist Max Schrems wählte einen anderen Weg: Er ging gegen das Privatunternehmen Facebook vor, weil durch die Enthüllungen über das PRISM-Programm der NSA bekannt geworden war, dass das Unternehmen, wie auch viele andere Internet-Giganten, die Daten seiner Nutzerinnen und Nutzer direkt der NSA zur Verfügung stellate (siehe die Liste der teilnehmenden Unternehmen auf den letzten beiden von der Washington Post veröffentlichten NSA-Folien zu PRISM). Facebooks Sitz in Europa ist in der irischen Hauptstadt Dublin. Nachdem die irische Datenschutzkommission eine Beschwerde von Max Schrems abgewiesen hatte, weil nach ihrer Ansicht nur die EU-Kommission selbst solche Entscheidungen wie Safe Harbour und die damit verbundenen Datentransfers in die USA wieder aufheben könne, klagte er beim Obersten Gerichtshof Irlands.

Der Fall wurde dem Europäischen Gerichtshof (EuGH) in Luxemburg vorgelegt, der am 6. Oktober 2015 mit einem Paukenschlag ein in mehrfacher Hinsicht historisches Urteil fällte. Das Gericht stellte fest, dass gleich zweifach der unantastbare Kernbereich eines Grundrechts berührt worden war: Die massenhafte Überwachung der Kommunikationsinhalte durch die NSA greift den Kern des Grundrechts auf Vertraulichkeit der Kommunikation an und das Grundrecht auf effektiven Rechtsschutz, also die Möglichkeit zu klagen, ist in diesem Fall ebenfalls nicht gewährleistet. Der Europäische Gerichtshof hob daher Safe Harbour mit sofortiger Wirkung auf. Zusätzlich stellte er fest, dass auch die unabhängigen Datenschutzbehörden der EU-Mitgliedstaaten jederzeit das Recht haben, bei bekannten und ernsthaften Verstößen Unternehmen wie Facebook ihre Datentransfers an Drittstaaten wie die USA zu untersagen.

 

Privacy Shield statt Safe Harbour

Das Urteil des Europäischen Gerichtshofs schlug in Washington und Brüssel ein wie eine Bombe. Die Datenschutzbehörden der EU gaben den Datenverarbeitern eine Schonfrist bis Ende Januar 2016, bevor sie mit der Durchsetzung beginnen würden – also Datentransfers konkret untersagen und bei Zuwiderhandlung Bussgelder verhängen. Diese Zeit nutzten viele Firmen, um ihre Datentransfers auf Standardvertragsklauseln mit dem Empfänger in den USA umzustellen. Auch diese alternative Rechtsgrundlage für Datentransfers in die USA brachte Max Schrems mittlerweile vor Gericht.

Die EU-Kommission und die US-Regierung intensivierten als Reaktion auf das Urteil ihre seit zwei Jahren laufenden Verhandlungen über eine Nachfolgevereinbarung zu Safe Harbour und präsentierten Anfang Februar 2016 erste Ergebisse. Die EU-Datenschutzbeauftragten zeigten sich nicht überzeugt und kritisierten im April 2016 eine Reihe grundlegender Punkte. Das Europäische Parlament äußerte im Mai 2016 in einer Entschließung ebenfalls starke Bedenken, weil das Privacy Shield die grundlegenden Probleme wie andauernde Massenüberwachung und keine echte Durchsetzung der Regeln gegenüber Unternehmen nicht löste. Der Antrag der Grünen/EFA-Fraktion im Europäischen Parlament, die Gültigkeit des Privacy Shield wenigstens auf zwei Jahre zu befristen, fand leider keine Mehrheit. Ungeachtet der Kritik nahm die Europäische Kommission das Privacy Shield an.

Zwar enthält das Privacy Shield einige wenige Verbesserungen im Vergleich zu Safe Harbour, die Schattenseiten überwiegen jedoch deutlich. Den US-Geheimdiensten wird weiterhin in sechs Fällen die massenhafte automatische Datensammlung gestattet, darunter so unscharfe Szenarien wie „die Festellung der Aktivitäten gewisser ausländischer Mächte“, was de facto alles bedeuten kann. Im privatwirtschaftlichen Bereich sind weiterhin die unternehmensfreundlichen privaten Streitschichter-Stellen vorgesehen, die häufig im Sinne der Unternehmen und nicht der Betroffenen entscheiden, und die Federal Trade Commission als Aufsichtsbehörde in den USA ist gesetzlich nicht verpflichtet, jede einzelne Beschwerde zu verfolgen. Ein generelles Widerspruchsrecht zu einer Datenverarbeitung, wie es das EU-Recht vorsieht, gibt es ebenfalls nicht.

 

Das Wichtigste zum Privacy Shield:

  • Datenschutz ist ein Recht, das mit den Daten reist. Beim Transfer in Länder außerhalb der EU muss daher ein gleichwertiger Datenschutz gewährleistet sein.
  • Das Privacy Shield zur Übermittlung personenbezogener Daten in die USA entspricht bei Weitem nicht dem EU-Datenschutz. Unternehmen haben weniger Regeln und die Massenüberwachung durch die NSA wird weiterhin akzeptiert.
  • Wenn die USA ihre Rechtslage nicht deutlich ändern, wird das Privacy Shield vermutlich genau wie der Vorgänger Safe Harbour am Europäischen Gerichtshof scheitern. Bis dahin sollten die Datenschutzbehörden im Zweifelsfall Datentransfers untersagen.

Kommentare

Keine Kommentare

Kommentar hinzufügen
*
*

*
CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*