Die EU-Kommission hat in Brüssel bekannt gegeben, dass man mit der US-Regierung eine Einigung beim neuen Anlauf für Safe Harbour Regeln geschafft habe. Dazu gehört laut Justizkommissarin Vera Jourová eine jährliche Evaluierung und die USA versprechen uns schriftlich, dass der Datenschutz auch durch NSA & Co besser gewährleistet werden soll. Wie das letzte auch gewährleistet und durchgesetzt werden soll, ist bisher nicht im Detail bekannt. Das erinnert mich an den Brief der USA an Ronald Pofalla aus dem Sommer 2013, dass es keine Massenüberwachung durch NSA & Co geben würde. Im Gespräch war bisher ein Ombudsmann auf Seiten der USA, da fühlen wir uns gleich ganz sicher und geschützt.
Allerdings möchte man die kommenden drei Monate noch damit verbringen, Details zu verhandeln. Mit anderen Worten: Das Logo ist schon fertig, die Einigung nicht.
Und das sind die Leitlinien laut EU-Kommission:
The new arrangement will include the following elements:
Strong obligations on companies handling Europeans’ personal data and robust enforcement: U.S. companies wishing to import personal data from Europe will need to commit to robust obligations on how personal data is processed and individual rights are guaranteed. The Department of Commerce will monitor that companies publish their commitments, which makes them enforceable under U.S. law by the US. Federal Trade Commission. In addition, any company handling human resources data from Europe has to commit to comply with decisions by European DPAs.
Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.
Effective protection of EU citizens’ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created.
Update:
Max Schrems kommentiert bei europe-vs-facebook:
„Es gibt anscheinend noch nicht mal einen Text. Vieles sind nur Überschriften, aber schon die Überschriften lassen befürchten, dass dieser „Deal“ einfach nur ein Roundtrip zum EuGH nach Luxemburg ist. So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend größer.“
Joe McNamee, Direktor von European Digital Rights, kommentiert: European Commission defence of European rights sinks in an unsafe harbour.
„Der Kaiser probiert gerade neue Kleider an. Die heutige Ankündigung bedeutet, dass europäische Bürger sowie Unternehmen auf beiden Seiten des Atlantik sich auf einen verlängerten Zeitraum der Unsicherheit einstellen müssen, während sie darauf warten, bis diese Notlösung scheitert.“
Jan Philipp Albrecht, grüner EU-Abgeordneter und Berichterstatter für die EU-Datenschutzgrundverordnung kommentiert: Datentransfers in die USA/Safe Harbor: EU-Kommission verramscht EU-Grundrecht auf Datenschutz.
„Die angekündigte Neufassung von Safe Harbor ist ein Affront der EU-Kommission gegenüber dem Europäischen Gerichtshof und den Verbraucherinnen und Verbrauchern in Europa. Sie sieht keine rechtlich verbindlichen Verbesserungen, sondern lediglich eine Erklärung der US-Regierung über deren Interpretation der Rechtslage bei der Überwachung durch US-Geheimdienste sowie eine zwar unabhängige, aber offenbar machtlose Ombudsperson, die sich der Beschwerden von Personen in der EU annehmen soll. Der neue Rechtsrahmen ist daher ein Ausverkauf des EU-Grundrechts auf Datenschutz.
Die Digitale Gesellschaft erklärt: Alter Wein in neuen Schläuchen.
Die konkrete Formulierung dürfte sich als schwierig erweisen, da das „Privatsphäre Schild“ in einigen bereits jetzt bekannten Punkten klar gegen die Vorgaben des EuGH verstößt. So ist der Bereich der nationalen Sicherheit von der Regelung ausgenommen. Gerade dies war aber einer der Hauptkritikpunkte der Luxemburger Richter an Safe Harbor. Ferner soll der Zugriff amerikanischer Sicherheitsbehörden auf die Daten von Europäerinnen und Europäern begrenzt werden. Dies bedeutet vor allem, dass weiterhin Zugriffe stattfinden. Worin die Begrenzung des Zugriffs bestehen soll und wie weit sie genau geht, lässt die Kommission wohlweislich offen. Gänzlich unglaubhaft ist daher auch ihre Behauptung, es werde in den USA künftig keine Massenüberwachung von Daten aus der EU mehr stattfinden. So dürfte es für die NSA bereits technisch schwierig, wenn nicht gar unmöglich sein, etwa im Rahmen der „Upstream Collection“ genannten Massendatenerfassung an Internetknotenpunkten zwischen europäischen und anderen Daten zu unterscheiden. Auch bietet das vorgesehene Ombudsmannverfahren keinen ausreichenden und insbesondere keinen gerichtlichen Schutz gegen Datenschutzverstöße durch US-Behörden. Der Ombudsmann ist selbst Teil der US-Administration und verfügt damit nicht über dieselbe Unabhängigkeit und Durchsetzungskraft wie ein Gericht. Schließlich dürfte auch die vorgesehene jährliche Evaluierung des „Privatsphäre Schilds“ keine substanzielle Verbesserung bringen, da sie allein durch EU-Kommission und Federal Trade Commission und nicht durch unabhängige Stellen erfolgen wird.
Die ehemalige Justizministerin Sabine Leutheusser-Schnarrenberger kommentiert auf Twitter:
Einigung? Klingt eher nach Beruhigungspille, nicht wie #SafeHarbour mit Datenschutz. Zweifle, ob Vorgaben des EuGH beachtet werden.
It’s not a „Privacy Shield,“ it’s an accountability shield. Never seen a policy agreement so universally criticized.