Logo ist vor Einigung fertig! Safe Harbour 2.0 heißt jetzt Privacy Shield! (Update)

Die EU-Kommission hat in Brüssel bekannt gegeben, dass man mit der US-Regierung eine Einigung beim neuen Anlauf für Safe Harbour Regeln geschafft habe. Dazu gehört laut Justizkommissarin Vera Jourová eine jährliche Evaluierung und die USA versprechen uns schriftlich, dass der Datenschutz auch durch NSA & Co besser gewährleistet werden soll. Wie das letzte auch gewährleistet und durchgesetzt werden soll, ist bisher nicht im Detail bekannt. Das erinnert mich an den Brief der USA an Ronald Pofalla aus dem Sommer 2013, dass es keine Massenüberwachung durch NSA & Co geben würde. Im Gespräch war bisher ein Ombudsmann auf Seiten der USA, da fühlen wir uns gleich ganz sicher und geschützt.

Allerdings möchte man die kommenden drei Monate noch damit verbringen, Details zu verhandeln. Mit anderen Worten: Das Logo ist schon fertig, die Einigung nicht.

Und das sind die Leitlinien laut EU-Kommission:

The new arrangement will include the following elements:

Strong obligations on companies handling Europeans‘ personal data and robust enforcement: U.S. companies wishing to import personal data from Europe will need to commit to robust obligations on how personal data is processed and individual rights are guaranteed. The Department of Commerce will monitor that companies publish their commitments, which makes them enforceable under U.S. law by the US. Federal Trade Commission. In addition, any company handling human resources data from Europe has to commit to comply with decisions by European DPAs.

Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.

Effective protection of EU citizens‘ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created.

Update:

Max Schrems kommentiert bei europe-vs-facebook:

„Es gibt anscheinend noch nicht mal einen Text. Vieles sind nur Überschriften, aber schon die Überschriften lassen befürchten, dass dieser „Deal“ einfach nur ein Roundtrip zum EuGH nach Luxemburg ist. So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend größer.“

Joe McNamee, Direktor von European Digital Rights, kommentiert: European Commission defence of European rights sinks in an unsafe harbour.

„Der Kaiser probiert gerade neue Kleider an. Die heutige Ankündigung bedeutet, dass europäische Bürger sowie Unternehmen auf beiden Seiten des Atlantik sich auf einen verlängerten Zeitraum der Unsicherheit einstellen müssen, während sie darauf warten, bis diese Notlösung scheitert.“

Jan Philipp Albrecht, grüner EU-Abgeordneter und Berichterstatter für die EU-Datenschutzgrundverordnung kommentiert: Datentransfers in die USA/Safe Harbor: EU-Kommission verramscht EU-Grundrecht auf Datenschutz.

„Die angekündigte Neufassung von Safe Harbor ist ein Affront der EU-Kommission gegenüber dem Europäischen Gerichtshof und den Verbraucherinnen und Verbrauchern in Europa. Sie sieht keine rechtlich verbindlichen Verbesserungen, sondern lediglich eine Erklärung der US-Regierung über deren Interpretation der Rechtslage bei der Überwachung durch US-Geheimdienste sowie eine zwar unabhängige, aber offenbar machtlose Ombudsperson, die sich der Beschwerden von Personen in der EU annehmen soll. Der neue Rechtsrahmen ist daher ein Ausverkauf des EU-Grundrechts auf Datenschutz.

Die Digitale Gesellschaft erklärt: Alter Wein in neuen Schläuchen.

Die konkrete Formulierung dürfte sich als schwierig erweisen, da das „Privatsphäre Schild“ in einigen bereits jetzt bekannten Punkten klar gegen die Vorgaben des EuGH verstößt. So ist der Bereich der nationalen Sicherheit von der Regelung ausgenommen. Gerade dies war aber einer der Hauptkritikpunkte der Luxemburger Richter an Safe Harbor. Ferner soll der Zugriff amerikanischer Sicherheitsbehörden auf die Daten von Europäerinnen und Europäern begrenzt werden. Dies bedeutet vor allem, dass weiterhin Zugriffe stattfinden. Worin die Begrenzung des Zugriffs bestehen soll und wie weit sie genau geht, lässt die Kommission wohlweislich offen. Gänzlich unglaubhaft ist daher auch ihre Behauptung, es werde in den USA künftig keine Massenüberwachung von Daten aus der EU mehr stattfinden. So dürfte es für die NSA bereits technisch schwierig, wenn nicht gar unmöglich sein, etwa im Rahmen der „Upstream Collection“ genannten Massendatenerfassung an Internetknotenpunkten zwischen europäischen und anderen Daten zu unterscheiden. Auch bietet das vorgesehene Ombudsmannverfahren keinen ausreichenden und insbesondere keinen gerichtlichen Schutz gegen Datenschutzverstöße durch US-Behörden. Der Ombudsmann ist selbst Teil der US-Administration und verfügt damit nicht über dieselbe Unabhängigkeit und Durchsetzungskraft wie ein Gericht. Schließlich dürfte auch die vorgesehene jährliche Evaluierung des „Privatsphäre Schilds“ keine substanzielle Verbesserung bringen, da sie allein durch EU-Kommission und Federal Trade Commission und nicht durch unabhängige Stellen erfolgen wird.

Die ehemalige Justizministerin Sabine Leutheusser-Schnarrenberger kommentiert auf Twitter:

Einigung? Klingt eher nach Beruhigungspille, nicht wie #SafeHarbour mit Datenschutz. Zweifle, ob Vorgaben des EuGH beachtet werden.

Edward Snowden twittert:

It’s not a „Privacy Shield,“ it’s an accountability shield. Never seen a policy agreement so universally criticized.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

31 Ergänzungen

  1. Für solche „Roundtrips“ zu den Gerichten sollte es Konsequenzen geben für die Abgeordneten, die dem zustimmen.

    So ähnlich, wie ich im Alltag grob fahrlässig handeln kann und dann ggf. meinen Versicherungsschutz verliere, sollten Abgeordnete ihr Mandat verlieren können, wenn sie Vorgaben von Gerichten ignorieren. Beim Safe Harbour, der VDS etc.

    Die Umsetzung ist nicht einfach, aber ich denke, sie ist machbar. Ganz grob sowas: Wird ein Gesetz kassiert, werden ja Vorgaben gemacht, die zu beachten sind. Wird ein ähnliches Gesetz wieder verabschiedet und erneut vom Gericht kassiert, müssen die entsprechenden Abgeordneten gehen.

    1. Yo. Plus Aufhebung jedweden Amtsschutzes/Immunität und so. Wie beim Geschäftsführer, Durchgriffshaftung bei grobem Unfug.

  2. Die EU-Kommission ist und bleibt ein hohes Schadenrisiko für Europa. Das ganze Gedöns kann nur als Farce bezeichnet werden. Statt klarer Gesetzesvorgaben mit Klagerecht irgendwelche Fantasieabmachnungen und Versprechungen. Alle Gottesanbeter von diesem Teufelspakt gehören in den Knast, weil sie wissentlich mutwillig falsch handeln und damit Europa schaden. Noch gewissenloser geht schon gar nicht mehr.
    mfg R.K.

  3. Das ist ein wunderbardes Logo. Schöner kann man den Bruch zwischen der EU und den USA kaum darstellen. Die europäischen Sterne fließen in die US-Filtermaschine einer nach dem anderen, die US-Stripes symbolisieren die Filterung, Verarbeitung und Endlagerung Europäischer Daten.

    Für Safe Harbour kann es kein Nachfolgeprojekt mehr geben, das Vertrauen glaubhaft vermitteln könnte. Einmal beraubt und betrogen reicht. Der US-Staat ist als Täter längst nicht resozialisiert. Vertrauen war gestern Vertrauen in die USA, das steht weit weg in den Sternen.

    1. EU-US Privacy Shield so könnte ich meine eigene digitale Selbstverteidigung bezeichnen, mein selbstgebautes Shield gegen EU und USA.

      Seit gestern übrigens sind die Übergangsfristen des Safe Harbour Abkommens ausgelaufen. Über Nacht hat man dann dieses Schäumchen auf dem Hut gezogen.

      Es wird Zeit, das juristische Schwert blank zu ziehen. Mal sehen, was dann noch von dem „Shield“ übrig bleibt.

  4. Niemand muss sensible Daten in den USA lagern lassen. Niemand muss die Cloud-Dienste nutzen, wie G-Mail. Dropbox und wie das ganze namentlich so betitelt wird. Die EU-Bürger, die nicht auf EU-Dienste, bzw. deutsche Dienste setzen müssen einfach wissen, dass sie überwacht werden durch die USA und die Briten, während ihre Datenpakete durchs Überseekabel fließen..Einzige Möglichkeit,der aktiven Abwehr, bei europäischen Anbietern registrieren und Tor zum Weg dorthin nutzen. PGP und Co sind zudem dein Freund,

    Ohne diese Maßnahme ist eh alles weg. Es ist übrigens bezeichnend, wie diese großen US-Konzerne horrende Summen ausschreiben für das Finden von Sicherheitslücken, wenn die das doch gar nicht bemerken wenn man sich die Pakete direkt am Kabel holt, das mit dem Schichtenmodell sollte man denen nochmal erklären bevor sie einen auf Sicher machen, um ihre geliebte europäische Kundschaft nicht zu vergraulen. :-)

    1. Das ist ja das merkwürdige: Da wird vehement argumentiert, aber die unsicheren Dienste nutzt man gerne. Da spielt es keine Rolle mehr, ob man Daten verschlüsselt, sein Mobiltelefon als Ortungshilfe einsetzt, Cloudcomputing betreibt, Facebooker oder Twitterer ist. Hauptsache man kann über die böse Überwachung meckern.

    2. Die Verantwortung für den Datenschutz nur zu privatisieren ist der falsche Weg. PGP, Tor und Co sind schön und gut. Das Recht auf informationelle Selbstbestimmung ist jedoch ein staatliche garantiertes Recht, und sollte deshalb auch von der EU durchgesetzt werden.
      Denn man wird immer weniger Kontrolle über die eigenen Daten haben. Es gibt nämlich kein analoges Leben im digitalen. Einkaufen, Autofahren, sich für einen Job bewerben, zum Arzt gehen,… all das wird nicht mehr gehen, und geht zum teil schon heute nicht mehr, ohne digitale Spuren zu hinterlassen. Ob die Unternehmen sorgfältig mit deinen Daten dann umgehen, diese überhaupt speichern, oder an Drittunternehmen weitergeben, die diese wiederum auf US-Servern speicher, das hängt von den Datenschutzgesetzen ab. Die Macht des Kunden ist da imho eher gering.

      1. Die Verantwortung für den Datenschutz nur zu privatisieren ist der falsche Weg. PGP, Tor und Co sind schön und gut. Das Recht auf informationelle Selbstbestimmung ist jedoch ein staatliche garantiertes Recht, und sollte deshalb auch von der EU durchgesetzt werden.

        Wer staatlichen Institutionen inklusive Legislative kaum mehr etwas zutraut, und seine Bürgerrechte nicht mehr gewährleistet sieht, der erwartet „vom Staat“ nichts mehr. Und wenn die politische Wahrnehmung so ist, dass die EU-Legislative ihren Sinn in Überregulierung und Lobbyistenbewirtschaftung sieht, dann wird das EU-Gebilde auch zur Bedrohung.
        Durch die sich zuspitzende Entwicklung der letzten Jahre sehen sich Teile des bürgerlichen Lagers und der Staat als Gegner an. Da bleibt nur bürgerliche Selbstverteidigung übrig, wenn man vom Staat nichts mehr zu erwarten hat. Das gegenseitige Vertrauen ist verloren gegangen, als erkennbar wurde, dass die Privatsphäre des Bürgers nicht einmal gegen ausländische Angriffe geschützt werden kann/soll.
        Diese Sätze habe ich in Bezug auf Telekommunikationsverkehr geschrieben. Nachdem ich dies gelesen habe, lief es mir kalt den Rücken runter, da es wohl darüber hinaus Geltung haben kann. Wiederholte Enttäuschung führt zur Entfremdung.

      2. @Adrian

        Dass sich die EU in die falsche Richtung entwickelt, glauben 44 Prozent der Briten – aber auch 69 Prozent der Griechen, 57 Prozent der Franzosen, 56 Prozent der Deutschen und der Österreicher, 55 Prozent der Schweden, 52 Prozent der Niederländer und der Tschechen.
        63 Prozent der Briten sagen, sie hätten kein Vertrauen in die EU. Aber: In Deutschland und Frankreich ist der Anteil genauso groß. In Griechenland sind es sogar 81 Prozent, auf Zypern 72 Prozent, in Österreich 65 Prozent, in Spanien und Slowenien 61 Prozent.
        54 Prozent der Briten haben das Gefühl, dass die EU keine Rücksicht auf sie nimmt. Aber: Genauso viele Finnen sehen das so, 55 Prozent der Ungarn, 63 Prozent der Italiener, 67 Prozent der Tschechen, 84 Prozent der Griechen.
        Viele Briten sind so patriotisch, dass ihre europäische Identität schwach ausgeprägt ist. Lediglich 40 Prozent geben an, sie „fühlten sich der EU verbunden“. Aber: Genauso wenige sind es in Italien, noch weniger in Österreich, Finnland, den Niederlanden, Tschechien, Griechenland oder auf Zypern.

        Quelle: http://www.spiegel.de/wirtschaft/soziales/die-brexit-falle-muellers-memo-a-1076014.html

        Bürger haben Bedürfnisse, Staaten aber haben nur Interessen. Die EU-Ost-Erweiterung war ein großer Fehler. Man hat diesen Ländern die EU-Mitgliedschaft aufgedrängt. Mit den Briten war es anders, aber gemeinsam ist, dass alle am Tropf der EU-Kassen hängen. Die EU ist nur solange gut, wie sie ausgenutzt werden kann. Eine Gemeinschaft der Egomanen.

        Was haben die Briten dem Projekt Europa beigesteuert? Ich finde keinen Beitrag der Briten. Let them go!

  5. Verstehe ich das richtig, jetzt werden Bürger schon allgemein als „human resources“ bezeichnet? Oder handelt es sich dabe wirklich um eine Einschränkung auf Personaldaten? Beides wäre nicht schön.

  6. EU-US Privacy Shield ist doch nur Save Harbour mit dem offiziellen Siegel der Europäischen Kommission. „TTIP, ik hör dir trapsen“. Ich hätte nicht gehofft das man uns so veralbern würde, es aber doch irgendwie so erwartet. Einfach das Label ändern und es mit einem Hübschen offiziellen EU Stempel versehen. Und wir sind wieder im Land der Glückseligen. Und nun dürfen alle Amerikanischen Unternehmen nun auch offiziell unsere Daten „Prostituieren“.
    Die Wirtschaft ist glücklich, den Geheimdiensten ist es ohnehin egal, und die Europäischen Politiker grinsen sich wieder Glücklich weil sie sich wiedereinmal von den „Amerikanern“ wie bei einem Kindergeburtstag über Tisch ziehen ließen. TTIP wird bestimmt auch ganz toll.

  7. Aber Hauptsache die Bundesdatenschutzbeauftragte Andrea („hurra ich bin Oberste Bundesbehörde“) Voßhoff begrüßt den Mist. Und das schon am 26.01.16! „Nachdem der EuGH den vermeintlich sicheren Hafen für unsicher erklärt hat, muss sichergestellt werden…..“ Wer denkt sich einen solchen Schwachsinn aus?

    1. Wer ist Andrea Vosshoff und was macht Sie,kann mich jemand aufklären,ich bin leider kein Kenner von Karaoke.

      1. Da kann einer weder mit einer Suchmaschine umgehen, und hat auch nix von Wikipedia gehört.

        Und nee, mein lieber! Links kriegst Du hier nicht von mir. Mach Dich selber schlau!

  8. @Saaldiener

    Das die von De Maiziere erkorene BFDI ihr Amt mehr als unzureichend ausübt,war schon bei Beginn der Inthronisation ersichtlich.
    Mit meinem Kommentar wollte ich die Untätigkeit von Frau Vosshoff,von der man nichts Datenschutzrechtliches
    hört(zumindestens nichts Positives),etwas ironisieren.

    Offensichtlich haben Sie das Licht der Welt in einer humorbefreiten Zone erblickt.

  9. Manchmal wundere ich mich wer ein Schild bestellt hat, dass die US-Unternehmen vor der europäischen Privacy-Gesetzgebung schützt.

  10. Ich denke, man kann vielleicht ein wenig spaß damit haben, wenn man aus privacy shield jetzt irgendwas mit Paper Shield macht. Lustige Videos und Comics.

    1. Game-Idee: Daten-Ping-Pong zwischen EU und USA. Gabriel, Oettinger und Konsorten hüpfen auf dem Atlantik mit Shields, dabei werden sie immer fetter, bis sie auf dem Wasser schwimmen und dann gluck, gluck und ein letztes Gluck.

  11. Dass das Logo vor der Einigung fertig ist, sagt schon alles. Das ist keine Politik, was die da in Brüssel veranstalten, das ist PR und nichts weiter.

  12. Mit den USA sollte man sich in Bezug auf Datenschutz NICHT einlassen.
    Die lügen, dass sich die Balken biegen!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.