Die EU-Kommission hat gestern Dokumente zum EU-US-Privacy-Shield veröffentlicht. Privacy Shield soll den Datenaustausch von Firmen zwischen den USA und der EU regeln, nachdem der Vorgänger Safe Harbor vom Europäischen Gerichtshof im letzten Oktober für ungültig erklärt wurde. Als Privacy Shield Anfang Februar vorgestellt wurde, waren viele Datenschützer skeptisch, eine handfeste Beurteilung war aber aufgrund mangelnder schriftlicher Unterlagen noch nicht möglich.
Einer der Hauptaspekte, der Safe Harbor zu Fall brachte, war das Thema Massenüberwachung und Weiterleitung von Daten an US-Geheimdienste. Um europäischem Recht zu entsprechen, müsste diese Standardweiterleitung gestrichen werden, doch Privacy Shield bietet hier keine ernstzunehmende Abhilfe:
[T]he U.S. government has given the EU written assurance from the Office of the Director of National Intelligence that any access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, preventing generalised access to personal data.
Die „klare Begrenzung“ eines Datenzugriffs stellt sich so dar, dass Massenüberwachungsdaten nur noch in sechs Fällen genutzt werden dürfen. Dazu gehören dehnbare Begriffe wie „Cybersecurity“ und „länderübergreifende kriminelle Bedrohungen“.
Zur besseren Durchsetzung von Rechten gegenüber den US-Geheimdiensten soll im US-Außenministerium eine Ombudsperson eingerichtet werden. Sie soll Beschwerden und Anfragen bearbeiten. Bereits an diesem Punkt gerät man ins Stocken. Eine Ombudsperson muss unabhängig sein, sonst wäre sie keine Ombudsperson. Doch ist eine solche im Außenministerium der USA angesiedelt, lässt sich diese Voraussetzung nicht erfüllen. Diesen Widerspruch stellte auch die aktuelle Ombudsfrau der EU, Emily O’Reilly, fest und richtete ein Schreiben an die mit Privacy Shield befasste EU-Kommissarin Věra Jourová:
According to the International Ombudsman Institute, an Ombudsman „offers independent and objective consideration of complaints“; it „should not receive any direction from any public authority which would compromise its independence“. The Ombudsman Association further specifies that, as regards independence, an „Ombudsman must be visibly and demonstrably independent from those whom the Ombudsman has the power to investigate“.
Für US-Außenminister John Kerry, der die Rolle mit Unterstaatssekretärin Catherine A. Novelli besetzen will, ist das kein Problem. Novelli sei unabhängig von den US-Geheimdiensten und berichte ihm direkt.
Privacy Shield beinhaltet noch weitere Maßnahmen, etwa das Recht, innerhalb von 45 Tagen Antwort auf Beschwerden an Unternehmen zu bekommen. All das kratzt nur an der Oberfläche. Dass US-Geheimdienstpraktiken nicht mit EU-Datenschutzrecht vereinbar sind und es keine wirksamen Datenschutzregelungen in den USA gibt, lässt sich nicht wegdiskutieren. Jan-Philipp Albrecht von den Grünen im EU-Parlament spricht von einer „neu vermarkteten“ Variante von Safe Harbour. Max Schrems, von dem die Klage ausging, die zum Fall von Safe Harbor geführt hatte, bezweifelt, dass sich Datenschutzbehörden und der Europäische Gerichtshof zufriedengeben werden, nur weil man das Schwein mit zehn Lagen Lippenstift angemalt hat.
Joe McNamee von European Digital Rights kommentiert:
The European Commission has given Europe a lesson on how not to negotiate. This isn’t a good deal, it hardly deserves to be called a ‚deal’ of any kind.
Zusammengefasst: Die Skepsis bei der ersten Vorstellung von Privacy Shield hat sich bestätigt. Noch ist aber nichts entgültig entschieden. Es folgt eine Konsultation der Artikel-29-Datenschutzgruppe. Zum Abschluss muss Privacy Shield auch von EU-Parlament und Rat abgesegnet werden. Laut Hinweis aus den Kommentaren (Danke!) muss das gar nicht passieren, da nach Artikel 25(6) der EU-Datenschutzrichtlinie die Kommission Entscheidungen über Drittstaaten mit angemessenem Schutzniveau trifft.