EU-US-Datenschutzabkommen unterzeichnet, weitere Schritte notwendig

Justizkommissarin Věra Jourová freut sich über den Abschluss der Verhandlungen. CC BY-SA 2.0, via Wikimedia/Reinis Inkēns

Vertreter der EU-Kommission und der US-Regierung haben am Dienstag das fertig ausgehandelte Rahmenabkommen zum transatlantischen Datenschutz unterzeichnet. Darin wird der Umgang mit personenbezogenen Daten geregelt, die Ermittlungsbehörden untereinander austauschen, und es bietet EU-Bürgern die Möglichkeit, ihre Datenschutzrechte vor US-Gerichten einzuklagen.

Bevor das Abkommen in Kraft treten kann, muss es jedoch noch einige Hürden überspringen. Zunächst hat der US-Kongress ein Gesetz („Judicial Redress Bill“) zu beschließen, das EU-Bürgern den Weg vor US-Gerichte freimacht. Auf europäischer Seite wird sich das EU-Parlament mit dem mittlerweile geleakten Text auseinandersetzen.

Das sogenannte „Umbrella Agreement“ bezieht sich ausschließlich auf die Verfolgung von Straftaten, Terrorismus mit eingeschlossen, und lässt den Austausch von Daten außen vor, die etwa kommerziellen Zwecke dienen. Neben der Einklagbarkeit sind darin Bestimmungen zu Speicherfristen und der Weitergabe von Daten an andere Behörden sowie Drittstaaten enthalten. Zudem gesteht das Abkommen EU-Bürgern unter gewissen Auflagen das Recht zu, Einsicht in die über sie gespeicherten Daten zu nehmen und diese gegebenenfalls zu berichtigen.

Öffentliche und nationale Sicherheit gehen vor

Detaillierte Analysen des Textes stehen noch aus, einige schwammig formulierte Passagen geben jedoch jetzt schon Anlass zu Kritik. So enthält das Abkommen keine festgeschriebenen Höchstspeicherfristen, sondern lediglich die unscharfe Formulierung, dass Daten so lange gespeichert werden dürfen, wie es „notwendig und angemessen“ erscheint. Auch das Recht auf Einsichtnahme in die Daten ist mit allerlei Fallstricken versehen: Ausnahmen sind etwa dann vorgesehen, wenn die „öffentliche und nationale Sicherheit“ betroffen sein sollte oder „juristische Anfragen“ obstruiert werden könnten.

Im Falle von Datenverlust oder nach unberechtigten Zugriffen muss zumindest die übermittelnde Behörde auf europäischer Seite benachrichtigt werden, in gewissen Fällen auch die betroffene Person. Doch auch hier greifen die üblichen Ausnahmen wie die „öffentliche oder nationale Sicherheit“, die dabei nicht gefährdet werden dürfe. Automatisierte Entscheidungen ohne menschliche Einwirkung sind erlaubt, solange ihr Einsatz durch nationales Recht gedeckt ist.

Juristen sollen prüfen

Die Parlamentsabgeordnete Viviane Reding (EVP), die als damalige Justizkommissarin die Verhandlungen angestoßen hatte, forderte ihre Kollegen im EU-Parlament auf, den Vertrag auf Hintertüren zu untersuchen und sicherzustellen, dass er tatsächlich sicherheits- und datenschutzrechtlich unbedenklich ausfällt. Für den grünen Abgeordneten Jan Philipp Albrecht sollte der Text auf jeden Fall durch parlamentseigene Juristen geprüft werden. „Die meisten unserer Ansprüche an den Vertragstext wurden erfüllt, aber mit zwei Vorbedingungen“, sagte er The Register. Das eine sei die Verabschiedung des „Judicial Redress Bill“ durch den US-Kongress. Zweitens dürfe das Abkommen die existierende europäische Gesetzgebung in Hinblick auf Datenschutz nicht untergraben. „Die Kommission ist der Meinung, das sei nicht der Fall, aber ich denke, als Parlamentarier sollten wir unseren eigenen juristischen Dienst beauftragen, das zu prüfen.“

Der Vertrag war notwendig geworden, da es im Zusammenhang mit der Übertragung von Kontoinformationen (SWIFT) und Flugpassagierdaten (PNR) an US-Behörden zu Konflikten gekommen war. Die 2010 begonnenen Verhandlungen hatten sich zum Ziel gesetzt, solche Grundsatzfragen zu klären, die Mängel beim Datenschutz zu beheben und dafür zu sorgen, dass EU-Bürger ihre Rechte auch vor US-Gerichten durchsetzen können. Justizkommissarin Věra Jourová sieht diese Auflagen erfüllt und sagte, das Abkommen garantiere ein hohes Maß an Schutz aller persönlichen Daten, die zwischen Ermittlungsbehörden ausgetauscht werden. „Im Besonderen garantiert es, dass alle EU-Bürger die Möglichkeit haben, ihre Rechte vor US-Gerichten durchzusetzen.“ Sie zeigte sich zuversichtlich, dass bald ein verbessertes Safe-Harbour-Abkommen abgeschlossen werden könne, das den Datenaustausch zu kommerziellen Zwecken regelt. Zu klären seien bloß nur mehr einige „finale Details“.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. > und bietet EU-Bürgern die Möglichkeit, ihre Datenschutzrechte vor US-Gerichten einzuklagen.
    Schön, dass Kevin und Chantalle aus Marzahn nun auch diese Möglichkeit haben. Die finanziellen Mittel für einen transatlantischen Rechtsstreit kommen – woher?
    Zum Schutz von Verbrauchern wurde einst der Gerichtsstand des Käufers festgelegt. Nun, da vor US-Gerichten geklagt werden soll, muss erstmal die Hürde der Einreise in die USA genommen werden.

    1. Und was macht man, wenn einem die Einreise in die USA untersagt wird? Sowas machen die USA ja ganz besonders gern und vor allem ist es so einfach, wenn man sich die geleakten Guidelines anschaut. Ok, man könnte nach Kanada fliegen und dann irgendwo die Grenze zu den USA überqueren. Das ist dann allerdings eine illegale Einreise und man darf froh sein sofort wieder zurückfliegen zu dürfen und nicht erst Monate in einem Deportationslager warten zu müssen.

      Da die Amerikaner ja so gerne ihre Angestellten auf andere Länder verteilen (DHS an deutschen Flughäfen, etc.) warum dann nicht auch ein paar Staatsanwälte, Richter, etc. in einem Land Europas? Brüssel vielleicht, dann könnte man wenigstens beim Rückweg dem Parlament nochmal schnell „Danke“ sagen.

  2. Das kann nur der erste Schritt sein.

    Im Falle von Datenverlust oder nach unberechtigten Zugriffen muss zumindest die übermittelnde Behörde auf europäischer Seite benachrichtigt werden, in gewissen Fällen auch die betroffene Person. Doch auch hier greifen die üblichen Ausnahmen wie die „öffentliche oder nationale Sicherheit“, die dabei nicht gefährdet werden dürfe. Automatisierte Entscheidungen ohne menschliche Einwirkung sind erlaubt, solange ihr Einsatz durch nationales Recht gedeckt ist.

    Das ist eine total unnütze und lächerliche Regelung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.