Nach Safe Harbor nun also ein Privacy Shield. Im Safe Harbor-Abkommen von 2000 wurde von der EU-Kommission festgelegt, dass personenbezogene Daten auch in den USA in einem „sicheren Hafen“ liegen. Damit wurde die Übermittlung solcher Daten in die USA legal. Das Abkommen wurde 2015 von Max Schrems, österreichischer Jurist und Datenschützer, vor den europäischen Gerichtshof gebracht. Der EUGh erklärte das Abkommen für nicht ausreichend. Als Nachfolgeregelung soll der in zwei Teile gegliederte EU-US Privacy Shield in Kraft treten. Im ersten Abschnitt werden die Konditionen, zu denen Unternehmen Daten transferieren dürfen festgelegt. Im zweiten Teil äußert sich die USA zum Thema Überwachung von Daten durch US- Behörden. Keines der beiden Elemente kann wirklich überzeugen.

Was steht überhaupt im Privacy Shield?

Im ersten Abschnitt des Privacy Shields geht es um den Schutz von Daten, die aus der EU in die USA transferiert werden. Unternehmen können sich, wie schon beim „Safe Harbor“-Abkommen, freiwillig zertifizieren. Das heißt, sie versprechen, sich an die Regeln des Privacy Shields zu halten. Dazu gehört unter anderem eine weitgehende Informationspflicht gegenüber den Kunden. Unternehmen verpflichten sich, im Zuge dieser Selbst-Zertifizierung eine konkrete Anlaufstelle für Kunden auszuschreiben, an die sich der Einzelne für Anfragen wenden kann. Diese Anfragen müssen innerhalb von 45 Tagen von den Unternehmen beantwortet werden. Für den Anfragenden dürfen dabei keine unangemessenen Kosten anfallen. In Zukunft soll auch abgefragt werden können, welche Daten wann zu welchem Zweck gesammelt wurden. Der Betroffene soll die Chance haben, die Daten bei Bedarf zu ändern, zu ergänzen oder die Löschung zu beantragen.

Versäumt es ein Unternehmen, innerhalb der 45-Tage-Frist die Anfrage zu beantworten, kann der Betroffene sich an seine nationale Datenschutzaufsichtsbehörde wenden. Diese kontaktiert dann das  Department of Commerce in den USA, das die Privacy Shield-zertifizierten Unternehmen kontrolliert.  Die höchste Strafe, die einem Unternehmen in diesem Fall droht, ist der Ausschluss von der Zertifizierung. Nur in besonders schweren Fällen kann die EU-Kommission dem Unternehmen einen weiteren Datentransfer aus der EU in die USA untersagen. Da allerdings das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht, hat die EU-Kommission gegenüber nicht zertifizierten Unternehmen keine Handhabe. Erst ab 2018, mit der Datenschutzgrundverordnung, könnte sich das ändern. Dann greift EU-weit das Marktortprinzip und auch amerikanische Unternehmen müssen sich an die europäischen Grundsätze halten.

Massenüberwachung „nur noch“ in sechs Fällen erlaubt

Der zweite Teil des Entwurfs widmet sich der Überwachung und Auswertung von Daten durch US- Sicherheitsbehörden. Laut US- Geheimdienstkoordinator James Clapper werden Daten zukünftig nur noch auf Basis der präsidialen Direktive PPD 28 ausgewertet. In dieser Direktive, die von Obama 2014 verabschiedet wurde, werden sechs mehr oder viel mehr weniger spezifische Zwecke genannt, für die Daten ausgewertet werden dürfen. Die Auswertung erfolgt ohne Information und Zustimmung des Betroffenen. Zu den Zwecken gehört neben der Bekämpfung des Terrorismus und der Verbreitung von Massenvernichtungswaffen auch die Bekämpfung transnationaler krimineller Bedrohungen. Des Weiteren sollen durch die Maßnahmen Aktivitäten fremder Mächte, v.a. Spionage, entdeckt und Bedrohungen für US-Streitkräfte oder verbündete Streitkräfte aufgedeckt werden.

Dass die Daten nicht missbraucht werden, soll dann einerseits von James Clapper und andererseits von einer Ombudsperson überwacht werden. Die Ombudsperson, Catherine A. Novelli, ist theoretisch zwar unabhängig von der Intelligence Community. Novelli ist aber gleichzeitig Untersekretärin des Staates und damit dem Außenministerium angegliedert. Zudem ist sie Senior Coordinator for Internal Information Technology Diplomacy und arbeitet eng mit den Verantwortlichen für die Bekämpfung der Internetkriminalität zusammen. Inwieweit also eine Person, die bereits eng mit Verantwortlichen zusammenarbeitet und deren Stelle dem US-Außenministerium angegliedert ist, als „unabhängig“ bezeichnet werden kann, darf man hinterfragen.

Wenig Hoffnung auf Entgegenkommen

Schon während der NSA-Affäre und bei der Frage nach einem No-Spy-Abkommen wurde klar, dass die USA die Datenauswertung als notwendig für die nationale Sicherheit erachten. Dass sie dabei wenig kompromissbereit sind, zeigt sich auch im jetzigen Entwurf: „Während die USA und die europäische Union das Ziel, den Privatsphären-Schutz für ihre Bürger zu verbessern, teilen, haben die USA eine andere Herangehensweise daran als die Europäische Union.“

Damit wollen sich europäische Datenschützer nicht abfinden. Der österreichische Jurist Max Schrems, der schon gegen Safe Harbor vorging, postete auf Twitter, dass es sich um rein kosmetische Verbesserungen handle. Auch Jan Philipp Albrecht, Europaabgeordneter der Grünen äußerte sich bereits kritisch: „Dasselbe (wie Safe Harbor) in Grün“. Schrems kündigte bereits an auch gegen das Privacy Shield vor den EUGh zu ziehen.

Der ehemaliger Datenschutzbeauftragter des Bundes Peter Schaar, mahnt dagegen Realismus an.  Er betont, dass wir internationale Abkommen zum Datenschutz brauchen. Und zwar nicht nur mit den USA, sondern auch mit anderen Staaten. Dabei müsste man versuchen, ein möglichst hohes Niveau zu halten. Es müsse einem aber klar sein, dass dabei nicht einfach die EU-Standards übernommen würden, sondern das in Verhandlungen Kompromisse gefunden werden müssten.

Bild: geralt unter Lizenz: CC0 Public Domain

Am 06. Oktober 2015 fiel das schon lang erwartete Urteil in der Sache Schrems gegen Facebook. Das Urteil wurde bereits vor seiner Verkündung als Grundsatzentscheidung in Sachen Datensicherheit eingeschätzt. Doch ist das Urteil auch wirklich ein Anstoß in Richtung Neuausgestaltung des europäischen Datenschutzes?

Der Datenschutzexpertin Saskia Fritzsche zufolge wird das Urteil zunächst praktische Konsequenzen entfalten. Aber auch Konsequenzen im Zusammenhang mit der Datenschutzgrundverordnung seien zu erwarten. Die Datenschutzgrundverordnung soll den europäischen Datenschutz zugunsten einer besseren Kontrolle der Bürger über ihre personenbezogenen Daten vereinheitlichen. Als Schutzmechanismen sieht die Verordnung das Recht auf Vergessenwerden und das Recht auf Datenportabilität vor. Das Recht auf Vergessenwerden wurde zuletzt mit dem Urteil gegen Google Spain im Jahr 2014 konkretisiert: Der EuGH bestimmte darin das Recht auf Löschung von bestimmten personenbezogenen Daten. Die Datenportabilität beschreibt wiederum das Recht, die eigenen Daten von einem Portal zu einem anderen zu transportieren.

Alternativen zu Safe Harbor gesucht: Die EU-Standardklausel

Doch welche praktischen Konsequenzen sind für den EU-Bürger zu erwarten? Nach Fritzsche ist hier das Schutzniveau bei der laufenden Übermittlung von Daten bedeutend. Als Stichwort fallen die EU-Standardklauseln, die als zukünftige Alternative zu Safe Harbor gelten könnten. Standardklauseln werden dem eigentlichen Vertrag über Dienstleitungen ergänzend zugefügt. Sie sollten ursprünglich ein Schutzniveau in den Fällen gewährleisten, in denen ein Vertrag mit einem Drittland besteht in denen ein Vertrag mit einem Drittland ohne ausreichendes Datenschutzniveau besteht. Das Instrument der Standardverträge wurde 2001 von der Europäischen Kommission entwickelt. Die Standardklauseln sind von den Vertragspartnern einklagbar. So könnten z.B. Personen klagen, wenn der Datenexporteur die Regelungen zur Verarbeitung ihrer übermittelten personenbezogenen Daten verletzt. Damit stellen die Standardklauseln ein geeignetes Instrument dar, um in angemessener Weise den Schutz der eigenen Privatsphäre zu gewährleisten.

Ein anderes Instrument sind die Binding Corporate Rules (BCR). Unter den BCR werden rechtlich verbindliche Unternehmensregelungen verstanden. Sie regeln den Umgang mit personenbezogenen Daten in Drittländern wie den USA. Die Sicherheitsstandards werden dabei von den jeweiligen nationalen Datenschutzbehörden bestimmt. Microsoft als prominentes Großunternehmen wendet die BCR bereits an.

Alternativen, ja –Effektivität, …?

Beiden Instrumenten ist eins gemein. Sie sollen Sicherheit und Transparenz im Umgang mit personenbezogenen Daten gewährleisten. Fraglich ist, ob sie diesem Anspruch auch gerecht werden, wie sich jetzt im Urteil Schrems zeigte. Das grundlegende Problem ist die mangelnde Durchsetzungsfähigkeit, da sie für Unternehmen nicht verpflichtend sind. Ob und inwiefern die Unternehmen von ihnen Gebrauch machen wollen, steht weitestgehend in ihrem Ermessen.

Dem schließt sich die Frage nach der Qualität des Schutzniveaus an. Die Frage stellt sich vor allem bei ihrer Gegenüberstellung mit Safe Harbor. Das Begriffspaar „angemessenes Schutzniveau“ bleibt dabei auch im Urteil Schrems weitestgehend unbestimmt. Generalanwalt Bot führte dazu in seinem Schlussantrag aus, dass der Begriff voraussetzt, dass ein Schutzniveau besteht, dass die europäischen Freiheiten und Grundrechte gewährleistet. Als Maßstab gilt das in den EU-Verträgen und der Grundrechte Charta garantierte Niveau.

Unternehmen: Schutzniveau und Umgang mit personenbezogenen Daten

Wird das geforderte Schutzniveau nicht eingehalten, sind nationale Behörden fortan zur Anzeige verpflichtet. Das wirkt sich unmittelbar auf den Umgang der Unternehmen mit personenbezogenen Daten aus. Sie müssen das Einverständnis zur Datenübermittlung mit den Kunden neu regeln. Möglich ist das sowohl auf gesetzlichem wie auch privat-autonomem Weg. Als Problem stellt sich in beiden Fällen der Aspekt der Geheimhaltung, so Fritzsch.

Die Geheimhaltungspflicht bezieht sich unmittelbar auf den Schutz der Daten. Dabei stellt sich die Frage, wie transparent ein Unternehmen mit dem Thema Datenschutz umgeht. Wie Fritzsche betont, müssen an dieser Stelle vor allem politische Lösungen implementiert werden. Im Fokus müsse dabei der Bürger und der für ihn nachvollziehbare Umgang mit seinen Daten stehen. Als Säule dienen dabei die Grundrechte – auf die sich der EuGH in seinem Urteil unmittelbar bezog. Allen voran Art. 7 und Art. 8 EU-GrCH, die Achtung des Privatlebens und der Schutz personenbezogener Daten. Die Union bekennt sich mit seinem Urteil unmissverständlich zu dem Datenschutz als EU-Grundrecht.

Europäischer Grundrechtsschutz: Chance und Herausforderung

Soll das Grundrecht nicht nur eine leere Phrase sein, gilt es den europäischen Datenschutz anders zu begreifen. Die Chance dazu bietet das Urteil Schrems. Wichtig ist, die Ausgestaltung des Rechts nicht wirtschaftlichen Erwägungen zu unterordnen. Eine entscheidende Frage ist, welche personenbezogene Daten warum gespeichert werden. Das muss für den Nutzer nachvollziehbar geregelt sein. Datenschutzexpertin Fritzsche sieht hier eine reale Gefahr der mitunter diskriminierenden Wirkung der massenhaften Speicherung von Daten. Wie Fritzsche ausführt, sei für die Nutzer weder transparent nach welchen Kriterien die Daten ausgewertet werden, noch könnten diese beeinflusst werden.

Wird nun ein ernsthafter Versuch zur Neuausgestaltung des europäischen Datenschutzes vorgenommen? Wenn ja, dann gelte es nach Fritzsche zwischen persönlichen und unpersönlichen Daten zu unterscheiden. Vor allem persönlichen Daten fordern die Einhaltung des von dem EuGH geforderten hohen Schutzniveaus. Der Ausgangspunkt muss dabei klar sein: Datenverarbeitungssysteme auf Unternehmensseite sind den europäischen Grundrechtsstandard unterworfen. Spielräume zur rechtlichen Ausgestaltung dieses Standards sind der Nährboden für hoffentlich ergiebige zukünftige Diskussion und mehr noch: Lösungen.

Bild: tammylo (CC BY-NC 2.0)