Datenschutz-Abkommen: "Blankoscheck für Datenweitergabe"

Datenschutz-Abkommen: "Blankoscheck für Datenweitergabe"

Nach monatelangen Verhandlungen hat die EU mit "Privacy Shield" ein neues Regelwerk für den transatlantischen Datenschutz beschlossen. Welche Regeln verschärft wurden, was sich für globale Unternehmen, die Daten transferieren ändert und warum EU-Datenexperte Jan Philipp Albrecht das Abkommen als "Blankoscheck für Datenweitergabe in die USA" anprangert und auch Aktivist Max Schrems sich dagegen wehrt.

Die EU-Kommission hat das neue Datenaustauschabkommens "Privacy Shield" (Datenschutzschild) mit den USA angenommen. Spätestens Anfang August soll das Privacy Shield operativ zum Einsatz kommen und für mehr Rechtssicherheit beim Datenschutz im transatlantischen Datenverkehr sorgen. Nach Angaben der EU-Behörde sichert das Abkommen einen besseren Datenschutz für europäische Bürger als das vorherige, das vom Europäischen Gerichtshof gekippte Safe-Habor-Abkommen. Hintergrund des EuGH-Urteils waren vor allem die Enthüllungen über eine massenhafte Überwachung des Internets durch US-Behörden. EU-Justizkommissarin Vera Jourova bezeichnete den neuen Pakt als "robustes neues System, um die persönlichen Daten der Europäer zu schützen und um Rechtssicherheit für die Wirtschaft zu garantieren". Ziel war es die bisher bestehenden Rechtsunsicherheiten beim internationalen Datentransfer zu beseitigen.

Europäer unverhältnismäßiger Überwachung durch US-Behörden ausgesetzt

Doch das neue Abkommen hat auch viele Gegner. Zu den wichtigsten zählt Jan Philipp Albrecht, justizpolitischer Sprecher der Grünen im Europäischen Parlament und dort oberster Kämpfer für höheren transatlantischen Datenschutz für Europäer. Seine Kritik: "Das EU-US Privacy Shield ermöglicht die erleichterte Weitergabe personenbezogener Daten in die USA, etwa bei der Nutzung von Online-Diensten wie Suchmaschinen oder sozialen Netzwerken. Doch die USA bieten bei den Rechten von Nutzern gegenüber Unternehmen und beim Schutz vor unverhältnismäßiger Überwachung durch Sicherheitsbehörden keinen Datenschutz, der den Standards in der EU gleichwertig ist. Es ist daher ein Fehler, dass die EU-Kommission die jetzigen Zusicherungen akzeptiert, ohne auf Nachbesserungen zu bestehen. Bereits bei der Verabschiedung von Safe Harbor im Jahr 2000 hatte das Europäische Parlament moniert, dass es in den USA kein generelles Datenschutzgesetz gibt. Und noch immer fehlen unabhängige Datenschutzbehörden. Nach Einschätzung von Albrecht seien die Nachbesserungen des Abkommens rein kosmetisch.

EuGH-Urteil völlig ignoriert

Zu den größten Kritiker des Abkommens zählt auch der österreichische Datenschutzaktivist Max Schrems: "Es ist besorgniserregend, dass eigentlich ziemlich blank das Urteil des EuGH ignoriert wird", sagte Schrems in Brüssel. Das EU-Gericht hatte nach einer Klage von Schrems das vorherige Abkommen mit den USA gekippt. In einem Zusatz zum "Privacy Shield" steht laut seinen Angabe ausdrücklich, dass die USA Massenüberwachung in sechs verschiedenen Szenarien praktizieren, etwa für internationale Kriminalität. "Das ist ein sehr breiter Anwendungsbereich. Die gesammelten Daten müssen gar nicht in einem Zusammenhang damit stehen", erklärt Schrems.

Massenüberwachung unzulässig

"Ich muss persönlich gar kein Verbrechen begangen haben. Es muss auch keinen Verdacht gegen mich geben. Und trotzdem landen meine Daten dort im System", argumentiert Schrems. Immer wieder gebe es Fälle, wo Personen nicht in die USA einreisen dürften, ohne zu erfahren warum und ohne Beschwerdemöglichkeit vor Gericht. Der Europäische Gerichtshof habe in seinem Fall klar gesagt, dass die US-Massenüberwachung unverhältnismäßig sei. "Ich kann mir nicht vorstellen, dass wir so etwas mit China machen würden", sagte Schrems.

Schrems vermutet, dass "wahrscheinlich der Druck von Industrie und von den USA stärker war als das Urteil des EuGH". Die EU-Kommission verschließe ihre Augen, "wahrscheinlich mit den Gedanken, dass eine Aufhebung wieder zwei bis drei Jahre dauert, und bis dahin ist man vielleicht nicht mehr zuständig dafür". Dies sei traurig, denn es gehe nicht nur um die Privatsphäre sondern auch um die Rechtstaatlichkeit.

Auch die Deutsche Vereinigung für Datenschutz warnt vor einem weiterhin undifferenzierte Datenzugriff der Sicherheits- und Geheimdienstbehörden auch auf Daten der EU-Bürger und erklärt ebenfalls, dass die Kontrolle des Datenschutzes in den USA nicht unabhängig sei.

Rechtsschutz nicht ausreichend

Datenschutzaktivist Schrems warf der EU-Behörde erst unlängst vor, vor den USA in die Knie zu gehen. Für ihn steht fest, dass auch gegen die Nachfolgeregelung Klage eingebracht wird. Ein weiterer Kritikpunkt Schrems: Die USA müssten Europäern Rechtsschutz bieten. Die Deutsche Vereinigung für Datenschutz bemängelt ebenfalls, dass die Änderungen von personenbezogener Daten bei transatlantischen Transfers nach wie vor minimal sind. So gebe es in den USA keinen wirksamen Rechtsschutz bei Verletzungen des Datenschutzes und des Schutzes der Vertraulichkeit der Kommunikation.
Die Bürgerrechtsorganisation Access Now kritisiert ebenfalls, dass ihre Empfehlungen weitgehend ignoriert wurden. Die Organisation kritisieren mangelnde Kontrollrechte von EU-Bürgern.

Neue Rechtsgrundlage bietet Unternehmen Sicherheit

Doch das neue Abkommen bietet aus Sicht von Unternehmen einen zweifelsfreien Vorteil: Rechtssicherheit. Das bisherige Problem für datenimportierende Unternehmen: Nachdem der EuGH die ursprüngliche Gesetzesgrundlage für den europäischen Datenschutz, das Safe Harbor-Abkommen, als unvereinbar mit europäischen Regeln, eingestuft und somit gekippt hatte, wurden global agierenden Unternehmen damit auch die Rechtsgrundlage für die Legitimierung des Datentransfers in die Vereinigten Staaten entzogen. Sie waren gezwungen ihr Rechtssystem in dieser Hinsicht in der Zwischenzeit auf EU-Standardvertragsklauseln umzustellen. Doch diese bilden kein einheitliches Vertragsbasis. Stimmt ein Vertragspartner der Daten importiert, diesen Klauseln nicht zu, fiel er auch als Geschäftspartner aus. Doch nun gilt mit dem neuen Abkommen Privay Shield wieder ein einheitliches Regelwerk und damit Rechtssicherheit.

Das neue Regelwerk sieht für Unternehmen vor allem verschärfte Kontroll- und Dokumentionspflichten vor. Voraussetzung für Unternehmen, um den Datentransport rechtlich zu legitimieren: Sie müssen allerdings nach dem neuen Regeln zertifiziert sein.

Löschpflichten und Regeln für Weitergabe von Daten verschärft

- Für Unternehmen wurde die Löschpflicht und die Reglung zur Weitergabe von Daten an Dritte verschärft.
- Personenbezogene Daten dürfen nur noch so lange gespeichert werden, wie es für den Zweck der Verarbeitung notwendig ist. Ausnahmen gibt es nur, wenn es um Daten für Forschungszwecke geht.
- Die Regeln werden jährlich geprüft, um sie flexibel an technische und rechtliche Änderungen anzupassen.

Verbesserungen für mittelständische Unternehmen

Der Digitalverband Bitkom begrüßte die Neuregelung: 'Privacy Shield' werde es Unternehmen ermöglichen, Daten ohne hohen bürokratischen Aufwand in die USA zu übermitteln. Davon profitiere vor allem der Mittelstand. 'Privacy Shield' enthalte jetzt zusätzliche Klarstellungen von den US-Behörden zur massenhaften Speicherung von Daten. Von der Neuregelung sollen auch globale Unternehmen wie Google und Facebook profitieren, die sich seit dem Gerichtsentscheid vom Oktober beim Datentransfer über den Atlantik hinweg vielfach mit Standardvertragsklauseln behelfen mussten.

Privatpersonen haben aufgrund des neuen Regelwerks leichtere Möglichkeiten, Beschwerden gegen Datenschutz-Verstöße einzulegen.

Das neue Regelwerk bietet für Unternehmen zwar nun die gewünschte und zuletzt mangelnde Rechtssicherheit, doch wie lange dieses Konstrukt gilt, ist ob der hohen Wahrscheinlichkeit von Klagen, die bereits das Safe-Habor-Abkommen torpetiert haben, fraglich.

Kommentar
Thomas Haberer - Rechtsanwalt bei KWR Karasek Wietrzyk

Recht

Der Konzern, das unbekannte Wesen

Recht

Konsumentenschützer fordern die Einführung von Gruppenklagen

Rechtstipps

Selbstfahrende Autos – die aktuelle Gesetzeslage