Die EU-Kommission hat gestern Dokumente zum EU-US-Privacy-Shield veröffentlicht. Privacy Shield soll den Datenaustausch von Firmen zwischen den USA und der EU regeln, nachdem der Vorgänger Safe Harbor vom Europäischen Gerichtshof im letzten Oktober für ungültig erklärt wurde. Als Privacy Shield Anfang Februar vorgestellt wurde, waren viele Datenschützer skeptisch, eine handfeste Beurteilung war aber aufgrund mangelnder schriftlicher Unterlagen noch nicht möglich.
Einer der Hauptaspekte, der Safe Harbor zu Fall brachte, war das Thema Massenüberwachung und Weiterleitung von Daten an US-Geheimdienste. Um europäischem Recht zu entsprechen, müsste diese Standardweiterleitung gestrichen werden, doch Privacy Shield bietet hier keine ernstzunehmende Abhilfe:
[T]he U.S. government has given the EU written assurance from the Office of the Director of National Intelligence that any access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, preventing generalised access to personal data.
Die „klare Begrenzung“ eines Datenzugriffs stellt sich so dar, dass Massenüberwachungsdaten nur noch in sechs Fällen genutzt werden dürfen. Dazu gehören dehnbare Begriffe wie „Cybersecurity“ und „länderübergreifende kriminelle Bedrohungen“.
Zur besseren Durchsetzung von Rechten gegenüber den US-Geheimdiensten soll im US-Außenministerium eine Ombudsperson eingerichtet werden. Sie soll Beschwerden und Anfragen bearbeiten. Bereits an diesem Punkt gerät man ins Stocken. Eine Ombudsperson muss unabhängig sein, sonst wäre sie keine Ombudsperson. Doch ist eine solche im Außenministerium der USA angesiedelt, lässt sich diese Voraussetzung nicht erfüllen. Diesen Widerspruch stellte auch die aktuelle Ombudsfrau der EU, Emily O’Reilly, fest und richtete ein Schreiben an die mit Privacy Shield befasste EU-Kommissarin Věra Jourová:
According to the International Ombudsman Institute, an Ombudsman „offers independent and objective consideration of complaints“; it „should not receive any direction from any public authority which would compromise its independence“. The Ombudsman Association further specifies that, as regards independence, an „Ombudsman must be visibly and demonstrably independent from those whom the Ombudsman has the power to investigate“.
Für US-Außenminister John Kerry, der die Rolle mit Unterstaatssekretärin Catherine A. Novelli besetzen will, ist das kein Problem. Novelli sei unabhängig von den US-Geheimdiensten und berichte ihm direkt.
Privacy Shield beinhaltet noch weitere Maßnahmen, etwa das Recht, innerhalb von 45 Tagen Antwort auf Beschwerden an Unternehmen zu bekommen. All das kratzt nur an der Oberfläche. Dass US-Geheimdienstpraktiken nicht mit EU-Datenschutzrecht vereinbar sind und es keine wirksamen Datenschutzregelungen in den USA gibt, lässt sich nicht wegdiskutieren. Jan-Philipp Albrecht von den Grünen im EU-Parlament spricht von einer „neu vermarkteten“ Variante von Safe Harbour. Max Schrems, von dem die Klage ausging, die zum Fall von Safe Harbor geführt hatte, bezweifelt, dass sich Datenschutzbehörden und der Europäische Gerichtshof zufriedengeben werden, nur weil man das Schwein mit zehn Lagen Lippenstift angemalt hat.
Joe McNamee von European Digital Rights kommentiert:
The European Commission has given Europe a lesson on how not to negotiate. This isn’t a good deal, it hardly deserves to be called a ‚deal‘ of any kind.
Zusammengefasst: Die Skepsis bei der ersten Vorstellung von Privacy Shield hat sich bestätigt. Noch ist aber nichts entgültig entschieden. Es folgt eine Konsultation der Artikel-29-Datenschutzgruppe. Zum Abschluss muss Privacy Shield auch von EU-Parlament und Rat abgesegnet werden. Laut Hinweis aus den Kommentaren (Danke!) muss das gar nicht passieren, da nach Artikel 25(6) der EU-Datenschutzrichtlinie die Kommission Entscheidungen über Drittstaaten mit angemessenem Schutzniveau trifft.
Ich möchte nichts schlechtreden, aber die Chancen für das Inkrafttreten des Gesetzes stehen gut.
Angenommen, Max Schrems hätte die Nerven und das Geld, auch dieses Gesetz wieder als Fail zu entlarven, so würde es erneut Jahre dauern, bis diese Entscheidung von dem EuGH getroffen wird.
Wie lange hat es dagegen gedauert, bis es das Ersatzschwein gab? Ein paar Monate. Und wie viele Firmen haben im Angesicht einer bald verfügbaren Nachfolgeregelung einen Finger gekrümmt? Keine bis wenige (Microsoft?).
So gut und respektabel die Arbeit von Max Schrems auch ist, die EU muss diese Veränderung im Sinne der Bürger wirklich *wollen*. Im Moment sitzen Lobbyfunktionäre aber am längeren Hebel, oder die Abgeordneten nehmen „was mit Computern“ nicht so richtig ernst, solange sie bei Fecebook Gratiswahlkampf machen und ihr Mittagessen posten können.
Bei der schwammigen Formulierung einfach nur ein Witz! Schlimmer noch als Safe Harbor.
> Angenommen, Max Schrems hätte die Nerven und das Geld, auch dieses Gesetz wieder als Fail zu entlarven, so würde es erneut Jahre dauern, bis diese Entscheidung von dem EuGH getroffen wird.
Mal angenommen es käme so, dann dürften die irische oder andere Datenschützer wohl kaum mehr die Abkürzung zum EuGH öffnen. Nur soviel zum MHD.
Wie auch immer ein Nachfolger von Safe Harbour konstruiert werden wird, in den USA ist nichts safe. Die Angriffe auf Apple sind nur ein Vorgeschmack dessen, was nach den US-Wahlen auf uns zukommen wird.
Keine faulen Kompromisse!
Wenn die Amerikaner mit uns Geschäfte machen wollen, dann müssen sie unsere Standards eben akzeptieren. In Fernost gäbe es genügend Ersatz.
Gab es mit dem Urteil vom EuGH nicht auch eine Klarstellung der Befugnisse der Datenschützer, dass DIE mit dem Vorschlag für Safe Harbor 2.0 einverstanden sein müssen – bzw., dass sie ihn kippen können, wenn es nicht deren Vorstellungen von Datenschutz der Europäer in den USA entspricht?
Saugut , dieses saumäßige Bild!
Vollendetes Artwork!
Wer hat’s gemacht? Kudos!
Die EU-Kommission kann die Entscheidung völlig allein treffen und muss von niemand etwas absegnen lassen. Es sieht nur nicht gut aus, wenn sie gegen das Parlament und gegen die Artikel-29-Gruppe entscheidet. Aber sie darf es.
Danke, wo ist das denn geregelt? Dann würde ich das oben noch korrigieren/ergänzen.
Artikel 25(6) der Richtlinie 1995/46/EC.
Fundstelle habe ich nicht, wurde mir aber mehrfach so erklärt (Aufsichtsbehörden, Juristen, Parlament). Das ist deshalb ja auch genau genommen kein „Abkommen“ sondern eine „Adäquanzentscheidung“, die die COM treffen darf und soll.
Ich sage es bereits seit Oktober und auch diese Meldung ändert nichts an dieser Meinung: Wer wirklich Wert auf Datensicherheit legt, nutzt wo er nur kann IT-Services heimischer Anbieter. In vielen Bereichen wie der E-Mail-Kommunikation via Cloud ( z. B. http://www.cojama.spam ) ist dies auch ohne weiteres möglich. Leider ist es in anderen Bereichen ( z. B. Social Media und Suchmaschinen) nicht ganz so einfach. Ich wünsche mir daher, dass heimische Anbieter die Gunst der Stunde erkennen und ihre Services erweitern. Bleibt nur zu hoffen, dass dies auch der Konsument zu schätzen weiß. Es gibt genügend Beispiele von Personen, die sich über die Nutzen ihrer Daten beschweren, aber ihr komplettes Privatleben im Internet ausbreiten. Leute, wacht auf!