Nationale Datenschutzbehörden kritisieren Privacy Shield und kündigen umfassende Prüfung an

Offiziell gefragt wurde sie nicht nochmal, die Artikel-29-Gruppe der nationalen Datenschutzbehörden hat sich trotzdem erneut zum umstrittenen EU-US-Privacy-Shield geäußert – und bleibt unzufrieden. Weil sie keine Vetomöglichkeit haben, setzen die Datenschützer auf die erste jährliche Überprüfung im Sommer 2017 und wollen Beschwerden „proaktiv unterstützen“.

Die EU-Komission steht unter Druck, das Privacy-Shield Abkommen anzupassen.

Seit gut zwei Wochen können personenbezogene Daten aus der EU, wie sie etwa bei der Nutzung US-amerikanischer Dienste und Plattformen wie Google, Facebook oder Amazon täglich anfallen, wieder ohne großen Aufwand legal in den USA gespeichert und verarbeitet werden. Am 12. Juni hat die EU-Kommission das Datenschutzniveau in den USA offiziell als den EU-Standards angemessen anerkannt. Nötig geworden war dieser Schritt, weil der Europäische Gerichtshof im vergangenen Oktober die seit 2000 geltende Safe-Harbor-Entscheidung der EU-Kommission für ungültig erklärt hatte. Grundlage der heftig umstrittenen neuen Angemessenheitsentscheidung ist das sogenannte Privacy Shield, eine Verabredung zwischen der EU-Kommission und der US-Regierung, die einen besseren Schutz der in den USA gespeicherten Daten garantieren soll, obwohl sich die Gesetzeslage in Hinblick auf Datenschutz dort nicht verbessert hat.

Keine Vetomöglichkeit für die Datenschützer

Die in der Artikel-29-Gruppe zusammenarbeitenden Datenschutzbehörden der EU-Mitgliedstaaten erklärten nun, dass der Schutz durch die neuen Mechanismen zwar besser sei als unter dem 15 Jahre lang geltenden Safe-Harbor-Regime, äußerten aber trotzdem deutliche Kritik. In ihrer Erklärung bemängeln die Datenschutzbehörden unter anderem, dass es für Nutzer und Konsumenten nach wie vor keine Möglichkeit gebe, der kommerziellen Nutzung ihrer Daten durch US-amerikanische Unternehmen grundsätzlich zu widersprechen. Auch seien keine ausreichenden Regeln für automatisierte Filterentscheidungen und für die Tätigkeiten von Unternehmen festgelegt worden, die Daten nicht erheben, sondern ausschließlich verarbeiten. Hinsichtlich des staatlichen Zugriffs auf in den USA gespeicherte personenbezogenen Daten bemängelt die Artikel-29-Gruppe das Fehlen konkreter Regeln, die der Massenüberwachung durch US-Geheimdienste einen Riegel vorschieben. Auch die in der Diskussion um Privacy Shield wiederholt angemahnte Unabhängigkeit der im US-Außenministerium angesiedelten Ombudsperson, die bei Streitfragen vermitteln und bei der Durchsetzung der Rechte europäischer Bürger helfen soll, sei in der nun gültigen Fassung immer noch nicht ausreichend.

Bereits im April hatte sich die Artikel-29-Gruppe im Rahmen des offiziellen Angemessenheitsentscheidungsverfahrens in einer Stellungnahme mit massiver Kritik und vielen Verbesserungsvorschlägen geäußert. Da die nationalen Datenschutzbehörden ebenso wie das EU-Parlament in dem Verfahren aber nur eine nichtbindende Stellungnahme abgeben dürfen und anders als der Artikel-31-Ausschuss, in dem Vertreter der nationalen Regierungen sitzen, kein Vetorecht haben, sind von diesen Vorschlägen nur einige umgesetzt worden. Die überarbeitete Fassung wurde den Datenschützern nicht noch einmal offiziell vorgelegt und die Entscheidung der Kommission wurde vor etwa zwei Wochen verkündet, weshalb die erneute Kritik erstmal ohne Konsequenzen bleiben wird. Die Datenschutzgruppe kündigte jedoch an, sich intensiv in die erste jährliche Prüfung der Versprechen der US-Regierung im Sommer 2017 einbringen zu wollen. Diese sei ein entscheidender Moment, um die Wirksamkeit der Privacy-Shield-Mechanismen zu prüfen. Es sei deshalb notwendig, die Kompetenzen der Datenschutzbehörden im Prüfprozess klar zu definieren. Unter anderem bräuchten alle Mitglieder der Prüfkommission Zugang zu ausreichend Informationen über die Datenpraxis der staatlicher Akteure.

Datenschutzbehörden wollen Beschwerden proaktiv unterstützen

Darüber, ob die Datenschutzbehörden planen, juristisch gegen die Angemessenheitsentscheidung der Kommission vorzugehen, wie dies etwa der Aktivist Max Schrems gefordert hatte, sagt das Statement leider nichts. Wohl aber haben sich die zur Artikel-29-Gruppe gehörenden Datenschutzbehörden dazu verflichtet, Individuen bei der Durchsetzung ihrer Rechte im Rahmen der Privacy-Shield-Mechanismen auch „proaktiv“ zu unterstützen, insbesondere bei Beschwerden. Wie genau hier die Proaktivität aussehen könnte, ob für Deutschland bereits konkrete Maßnahmen geplant sind und wie die erste jährliche Prüfung aussehen muss, um die ausreichende Durchsetzung von Verbraucher- und Bürgerrechten sicherzustellen, wollten wir heute von der Bundesdatenschutzbehörde wissen. Solange die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, im Urlaub ist, sind aus ihrem Haus hierzu jedoch keine Informationen erhältlich. Wir werden das Thema nach ihrer Rückkehr dann hoffentlich in der kommenden Woche ausführlicher beleuchten können.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. Also ich finde ja, das ist alles eine Frage des richtigen Auftretens. Keine Vetorecht? Also ich sage hiermit ganz entschieden und in aller Deutlichkeit:

    VETO!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.