Vor der unmittelbar bevorstehenden Absegnung des EU-US-Privacy-Shield-Abkommens stellte sich heute Věra Jourová, EU-Kommissarin für Justiz und Verbraucherschutz, den Fragen von EU-Abgeordneten. Vor dem Innenausschuss des EU-Parlaments (LIBE) verteidigte Jourová das Abkommen, das als Nachfolgeregelung für das im Vorjahr vom Europäischen Gerichtshof (EuGH) gekippte Safe-Harbor-Abkommen auf den Weg gebracht wurde. Ganz glücklich über die Einigung zeigte sich Jourová jedoch nicht: „Ich bin nicht glücklich. Ich bin nicht absolut zufriedengestellt“, räumte die Kommissarin zähneknirschend am Ende der Anhörung ein. Sollte sich herausstellen, dass die Vereinbarung in der Praxis nicht so funktioniere wie geplant, werde man „das System suspendieren“.
Mehrfach betonte die Kommissarin, zusätzliche Versicherungen und Verpflichtungen der US-Verhandlungspartner erhalten zu haben. So sei gewährleistet, dass US-Geheimdienste nur dann massenhaft und verdachtsunabhängig Daten sammeln dürfen, wenn eine Überwachung einzelner Verdächtiger nicht möglich sei. Auch die „funktionale Unabhängigkeit“ der für Streitfragen zuständigen Ombudsperson sei künftig sichergestellt. Zudem herrsche nun Klarheit, so Jourová, wie die Ombudsperson mit anderen US-Aufsichtsbehörden kooperieren werde, die über Ermittlungsbefugnisse verfügen.
Dem Mechanismus eine Chance geben
Zum ersten Mal in der Geschichte gebe es einen Mechanismus, der individuelle Streitfälle auf internationaler Ebene schlichten kann. Jourová appellierte deshalb an die EU-Abgeordneten, den Mechanismus nicht einfach abzuweisen, bevor er überhaupt Gelegenheit hatte, sich im Alltag zu beweisen. „Lasst uns dem eine Chance geben und lasst uns [die EU-Kommission] demonstrieren, dass er in der Praxis funktioniert“, erklärte Jourová.
Beim Vorhalten angesammelter Daten gebe es nun mit europäischen Datenschutzstandards vergleichbare Regelungen, die besagen, dass nur so lange gespeichert werden darf, so lange die Daten tatsächlich benötigt werden. Auch sei sichergestellt, dass das Privacy Shield nicht umgangen werden kann, indem personenbezogene Daten einfach an andere Unternehmen weitergegeben werden.
Jourová betonte die Wichtigkeit der jährlich stattfindenden gemeinschaftlichen Überprüfung des Abkommens und zeigte sich „offen für Diskussionen“ darüber, ob das EU-Parlament nicht stärker eingebunden werden sollte. „Vielleicht könnten sie erwägen, jemanden zu ernennen, der sich am ‚Joint review‘ beteiligt“, sagte Jourová in Richtung der Abgeordneten.
Verbesserungen feststellbar, aber sind sie gut genug?
Überzeugen konnte die EU-Kommissarin jedoch nicht alle Parlamentarier. So stellte die deutsche Sozialdemokratin Birgit Sippel fest, dass es einige Verbesserungen im Vergleich zu früheren Entwürfen gebe, etwa beim Bereich der Massendatensammlungen oder der Unabhängigkeit der Ombudsfrau. „Die Frage ist allerdings, ob das schon gut genug ist, oder ob das Ganze, wenn es wieder vor Gericht gebracht wird, genau das gleiche Schicksal erleidet wie Safe Harbor“, warnte Sippel.
Ähnlich gelagert war die Kritik der liberalen Abgeordneten Sophie in’t Veld. Es gebe keinen Zweifel daran, dass das vorliegende Arrangement besser ist als Safe Harbor, aber die entscheidene Frage laute eben, ob es denn gut genug sei. „Es gibt keine Balance zwischen dem Gesetz und kommerziellen Interessen. Man muss sich ans Gesetz halten, Punkt aus“, sagte in’t Veld. Aus ihrer Sicht sei Privacy Shield nicht „Schrems-proof“. Es sei zu erwarten, dass der EuGH im Falle einer erneuten gerichtlichen Auseinandersetzung das Abkommen, wie schon seinen Vorgänger, für ungültig erklärt. Dabei gehe es doch darum, mit diesen internationalen Vereinbarungen Rechtssicherheit zu schaffen, für Bürger wie für Unternehmen. Privacy Shield verfehle jedoch dieses Ziel, so in’t Veld.
Gültigkeitszeitraum beschränken
Auch der grüne Abgeordnete Jan Philipp Albrecht betonte, dass es nicht um Verbesserungen gehe, sondern darum, ob es den Prinzipien entspreche, die die EU-Gesetzgebung und der EuGH vorgeben. „Es gibt ernsthafte Zweifel daran, ob der Angemessenheitsbeschluss [der EU-Kommission] das einhält“, sagte Albrecht. Im Besonderen störte er sich an der Massensammlung von Daten durch US-Geheimdienste, was noch immer nicht zufriedenstellend geklärt sei. Zudem sei es von entscheidender Bedeutung, dass Privacy Shield nicht für immer – beziehungsweise so lange, bis es wieder vom EuGH gekippt wird – festgeschrieben wird, sondern nur für einen beschränkten Zeitraum. Um in Hinblick auf Datenschutzstandards eine internationale Führungsrolle einnehmen zu können, müsse Europa ein klares Signal senden und deutlich machen, dass das letzte Wort noch nicht gesprochen ist, erklärte Albrecht.
Von der Neuregelung enttäuscht zeigte sich die linke Abgeordnete Cornelia Ernst. „Das ist ein falscher Fünfziger. Das, was draufsteht, ist nicht drin“, so Ernst. Weder werde die Datenerfassung durch verschiedene US-Sicherheitsbehörden verhindert noch die Unabhängigkeit der Ombudsperson effektiv gesichert. Zudem müsse die Ombudsperson keine Rechtsmittel benennen, was die gesamte Konstruktion zu einer sehr vagen Angelegenheit mache. Ein klarer Bruch mit EU-Recht sei auch, dass der postulierte Schutz nur für EU-Bürger gelte. „Wir betrachten das als Fraktion als einen Affront und eine Nicht-Umsetzung des EuGH-Urteils“, bekräftigte Ernst.
So sei gewährleistet, dass US-Geheimdienste nur dann massenhaft und verdachtsunabhängig Daten sammeln dürfen, wenn eine Überwachung einzelner Verdächtiger nicht möglich sei.
Wie wird nachgewiesen, dass eine gezielte Überwachung nicht möglich ist? Weshalb soll eine „massenhafte und verdachtsunabhängige“ Überwachung in diesem Fall wirksam sein?
Wieso ist diese Überwachung eigentlich „verdachtsunabhängig“ – ich dachte, es ginge darum, Personen, die man verdächtigt (!), derer Kommunikationsmittel man aber nicht gezielt habhaft werden kann, zu überwachen?
Wie kann eine „massenhafte und verdachtsunabhängige“ Überwachung in einer freiheitlichen Gesellschaft überhaupt zulässig sein?
Mehrfach betonte die Kommissarin, zusätzliche Versicherungen und Verpflichtungen der US-Verhandlungspartner erhalten zu haben. So sei gewährleistet, dass US-Geheimdienste nur dann massenhaft und verdachtsunabhängig Daten sammeln dürfen, wenn eine Überwachung einzelner Verdächtiger nicht möglich sei.
Also im Zweifel wird alles überwacht und bei den Versicherungen und Verpflichtungen der USA wissen wir, dass sie nicht das Papier wert sind, auf das sie geschrieben sind.