Privacy Shield: Neue Grundlage für transatlantischen Datenverkehr gilt jetzt – noch

Der Safe-Harbor-Nachfolger Privacy Shield ist da. Es soll die Erfüllung europäischer Datenschutznormen bei Datenübermittlungen in die USA, wie sie bei der Nutzung von Social-Media-Plattformen täglich anfallen, sicherstellen. Kernforderungen von Datenschützern, EU-Parlamentariern und Zivilgesellschaft bleiben unerfüllt.

Wird der Schild bald schon wieder fallen gelassen? Foto: CC-BY 2.0 housegirl_photos

Jetzt ist es offiziell: Die EU-Kommission hat das Datenschutzniveau in den USA als angemessen anerkannt und damit eine neue rechtliche Grundlage für den transatlantischen Datenverkehr geschaffen. Dienste und Plattformen wie Google, Facebook oder Amazon, aber auch kleinere Unternehmen, welche die personenbezogenen Daten europäischer Nutzer in den USA speichern und verarbeiten, können diese in Zukunft wieder legal ohne weitere Schutzmaßnahmen dorthin übermitteln. In einer Pressekonferenz mit US-Handelsministerin Penny Pritzker hat die EU-Kommissarin für Justiz und Verbraucherschutz, Věra Jourová, die Angemessenheitsentscheidung heute vorgestellt und begründet. Grundlage sind die sogenannten „Privacy Shield“-Vereinbarungen, in denen die US-Regierung bestimmte Maßnahmen und Standards zusichert, mit denen das Datenschutzniveau in den USA gespeicherter, personenbezogener Daten auf ein EU-Standards entsprechendes Niveau angehoben werden soll.

Nötig geworden war die neue Angemessenheitsentscheidung, weil der Europäische Gerichtshof (EuGH) im vergangenen Oktober die 15 Jahre alte Safe-Harbor-Entscheidung der EU-Kommission für ungültig erklärt hatte. 2013 hatte sich der Jurist und Datenschutzaktivist Max Schrems bei der zuständigen irischen Datenschutzbehörde beschwert, dass seine Daten bei Facebook in den USA nicht „angemessen geschützt“ sein könnten, solange es dort ungehinderte staatliche Massenüberwachung gibt. In der Folge waren zunächst der Generalanwalt des Europäischen Gerichtshofes und dann der EuGH selbst der Argumentation von Schrems über weite Strecken gefolgt: Unter anderem aufgrund des in den USA gesetzlich ermöglichten massenhaften Abgriffs der personenbezogenen Daten von EU-Bürgern, die von Unternehmen wie Facebook gespeichert werden, könne das Schutzniveau nicht als angemessen betrachtet werden.

Im Februar hat die EU-Kommission dann ihren neuen Vorstoß vorgestellt: Privacy Shield, für welches das Logo fertig war, bevor die Verabredung stand. Im Rahmen der Vereinbarung sichern die USA nun zum Beispiel zu, ihre Massenüberwachung einzugrenzen, indem sie nur noch in sechs (dehnbar interpretierbaren) Bereichen angewendet werden soll. Außerdem soll eine Ombudsperson im US-Außenministerium für Datenschutzbeschwerden aus Europa ansprechbar sein und im Streitfall vermitteln. Eine Zustimmung des EU-Parlaments ist laut dem im europäischen Datenschutzrecht vorgesehen Angemessenheitsentscheidungsverfahren nicht notwendig. Lediglich der sogenannte Artikel-31-Ausschuss, in dem Regierungsvertreter der EU-Mitgliedsstaaten zusammenkommen und in dem Deutschland vom Innenministerium vertreten wird, musste seine Zustimmung geben. Die Verabredung gilt für alle EU-Mitgliedsstaaten und die Mitglieder des Europäischen Wirtschaftsraumes.

Kritik auf breiter Front

Privacy Shield war von Beginn an heftig umstritten. So haben etwa in nicht-bindenden Stellungnahmen das Europäische Parlament und die Artikel-29-Arbeitsgruppe der nationalen Datenschutzbeauftragten massive Kritik an der geplanten Verabredung geäußert. Auch der Europäische Datenschutzbeauftragte Giovanni Buttarelli und diverse zivilgesellschaftliche Organisationen übten Kritik.

Im Kern geht es dabei darum, dass die Zusagen der US-Regierung nicht weit genug gehen und sich die Gesetzeslage in den USA nicht geändert hat: Amerikanischen Behörden bleibt der massenhafte Zugriff auf personenbezogene Daten aus Europa weiter möglich. Auch die neu eingerichtete Ombudsstelle wird als zu wenig unabhängig und letztlich ineffizient für den Schutz europäischer Bürger angesehen. Zudem wird die Verabredung auch in ihrer Form kritisiert: Versprechen der US-Regierung sind deutlich weniger wert als ein bindendes völkerrechtliches Abkommen. Letztlich werde die neue Angemessenheitsentscheidung vor dem Europäischen Gerichtshof ebenso wenig bestand haben wie Safe Harbor, so viele Kritiker.

Nur noch kosmetische Änderungen vorgenommen

In Anbetracht der massiven Kritik, die offenbar auch Ländervertreter im Veto-berechtigten Artikel-31-Ausschuss zögern ließ, hatten EU-Kommission und US-Regierung im Juni nochmals nachverhandelt und einige Änderungen verabredet. Die veränderte Fassung wurde von dem Ausschuss am Freitag dann abgesegnet und auf Drängen einiger EU-Parlamentarierer von Kommissarin Jourová dann gestern im Innenausschuss des Europaparlaments vorgestellt, ohne dass dieser noch Einfluss hätte nehmen können. Selbst EU-Kommissarin Jourová gab hier zu, dass sie mit Privacy Shield „nicht glücklich“ sei – es sei jedoch besser als die alte Safe-Harbor-Verabredung und einen Versuch wert. Die NGO Privacy International kritisierte, dass der Schutzschild auch nach den Veränderungen löchrig bleibt. Der grüne Abgeordnete Jan Philipp Albrecht bezeichnete die Neuerungen uns gegenüber als lediglich kosmetische Veränderungen.

Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff zeigte sich trotz Lob für einige Fortschritte auf Anfrage von netzpolitik.org enttäuscht. Sie kritisierte insbesondere das Vorgehen der EU-Kommission, welche die europäischen Datenschutzbeauftragten nach Überarbeitung der Verabredung nicht mehr anhörte:

Insbesondere im sogenannten kommerziellen Teil wurden viele Forderungen der Datenschützer berücksichtigt. Dies ist natürlich erfreulich. Im Sicherheitsteil des Abkommens scheinen allerdings nicht in gleichem Maße Ergänzungen gemacht worden zu sein. Um dies zu bewerten, bedarf es jedoch einer Analyse des Textes, welche die Artikel-29-Gruppe durchführen wird. Bedauerlich ist, dass der Artikel-29-Gruppe im laufenden Verfahren von der Kommission nicht erneut die Gelegenheit zur Stellungnahme eingeräumt wurde.

Umstrittene Zukunft der Vereinbarungen

Während der heutigen gemeinsamen Pressekonferenz mit US-Handelsministerin Penny Pritzker bekräftigte Věra Jourová, dass die „Privacy Shield“-Vereinbarungen fundamentale Änderungen gegenüber dem Safe-Habor-Abkommen enthalten und ein hohes Datenschutzniveau sicherstellen werden. Die neue Regelung sei aus den Vorgaben des EuGH und den Empfehlungen unabhängiger europäischer Datenschutzbehörden entwickelt worden. Jourová betonte die gute Zusammenarbeit mit den Datenschützern, die sie auch in Zukunft weiter führen will. Auf die Frage, ob das Abkommen durch einen erneuten Prozess vor dem EuGH zu Fall gebracht werden könne, versicherten beide, dass sie von einem Standhalten gegen eine Klage überzeugt seien.

In einer Gegenveranstaltung zu dieser Pressekonferenz diskutierten der Europaabgeordnete Jan Philipp Albrecht und Max Schrems in Brüssel über das neue Abkommen. Dabei hielten sie zunächst fest, dass weiterhin signifikante Unterschiede zwischen europäischen Datenschutzregelungen und amerikanischem Recht bestünden und dass sich darüber hinaus an der Realität der US-Massenüberwachung nichts geändert habe. Bezüglich der Standfestigkeit der neuen „Privacy Shield“-Regelung sagte Albrecht: „Die EU-Kommission hat zugegeben, dass sie nicht sicher sind, ob das Abkommen dem EuGH standhalten wird.“ Er bekräftigte, dass er sich für eine Klage durch das Europäische Parlament einsetzen wird, ansonsten aber auch die Möglichkeit besteht, dass erneut Privatpersonen eine Klage vor den EuGH bringen. Max Schrems fügte an, dass er hoffe, dass auch andere Bürger und vor allem die Datenschutzbehörden gegen Privacy Shield klagen werden.

Auch zivilgesellschaftliche Organisationen sehen keine Verbesserungen in dem Abkommen und erwarten ein erneutes Eingreifen des EuGH.

Joe McNamee, Direktor von European Digital Rights, sagte gegenüber netzpolitik.org:

Unglücklicherweise hilft diese Einigung niemandem, weder der Privatsphäre noch der Wirtschaft. Wir müssen nun warten bis der EuGH diese Vereinbarung erneut für rechtswidrig erklärt, wonach die EU und die USA vielleicht eine ernstzunehmende Regelung verhandeln werden.

Alexander Sander, Hauptgeschäftsführer Digitale Gesellschaft e.V., teilte netzpolitik.org mit:

Die EU hat es versäumt, eine rechtmäßige, vertrauenswürdige und wirksame Grundlage für transatlantische Datenflüsse auf den Weg zu bringen. Das Privacy Shield genügt den Vorgaben der Safe-Harbor Entscheidung des Europäischen Gerichtshofs (EuGH) keineswegs. Noch immer können die Geheimdienste der USA massenhaft und faktisch unkontrolliert auf personenbezogenen Daten der Europäerinnen und Europäer zugreifen und diese speichern und verarbeiten. Zudem hat man versäumt, einen ausreichenden Rechtsschutz für die europäischen Bürgerinnen und Bürger zu implementieren. Es ist nur eine Frage der Zeit, bis auch diese Vereinbarung vom EuGH zu Fall gebracht wird.

30 Ergänzungen

  1. Komisch, Snowden feiern Sie als Helden, weil er den Datenschutz verletzt hat, schlimmer: Tausende Menschen wissentlich und willentlich hohen Gefahren ausgesetzt hat.

    Aber ansonsten kann es mit dem Datenschutz nicht genug sein?

    Bissle viel Widerspruch!

    1. Wann hat Snowden was gegen Datenschutz getan? Kann mich da gerade nicht erinnern, sorry.

      1. @ Ben Siegler

        Vorsicht, Trollalarm!

        @ W. Heidecker

        Können Sie bitte kurz mal die Belege raussuchen, nach denen in den drei Jahren seit Beginn der Snowden-Veröffentlichungen (2013-2016) „Tausende Menschen“ „hohen Gefahren ausgesetzt“ gewesen seien?

        Ach so: Können Sie bitte auch mal kurz zitieren, wann der Straftatbestand der üblen Nachrede bzw. Verleumdung erfüllt ist?

        1. Was glauben Sie, warum die Daten als Geheim eingestuft waren? Weil jemand zuviel Zeit hatte?

          PS Sie sollten einmal aufhören immer alle als Troll zu sehen, die Ihre Meinung nicht teilen.

          1. Ja, bitte erzählen Sie uns mehr davon, „warum die Daten als geheim eingestuft waren“.

            Warum war die Spionage gegen deutsche und europäische Institutionen, Persönlichkeiten und Unternehmen als geheim eingestuft?
            Warum war die Infiltration der Google Rechenzentren als geheim eingestuft?

            Warum ist der ungekürzte und ungeschwärzte Bericht zur CIA-Folter als geheim eingestuft?

          2. „PS Sie sollten einmal aufhören immer alle als Troll zu sehen, die Ihre Meinung nicht teilen.“

            Sie sollten einmal aufhören, immer alle zu kritisieren, die nach ihrer Meinung in Ihnen einen Troll sehen. Meinungsfreiheit!?

          3. @Gladio

            Nachdem Sie nichts beitragen wollen (oder haben) werde ich auch nicht mehr auf Sie reagieren. Wenn Sie etwas auf der Sachebene sagen wollen, gerne … Beleidigungsversuche muss ich nicht beantworten.

          4. @ W. Heidecker

            „Nichts beitragen“? Meinen Sie Ihre undemokratische Weigerung, Fragen zu beantworten?
            „Nicht mehr auf [mich] reagieren“? Sind Ihnen meine Frage zu unangenehm? Sind Sie kein Demokrat? Wollen Sie Ihr Lügengebäude nicht gefährden?
            „Sachebene“? Meinen Sie Ihre unbelegten Verleumdungen gegen Edward Snowden?
            „Beleidigungsversuche“? Meinen Sie Ihre Versuche, Edward Snowden zu beleidigen?

            Ach so: Warum verteidigen Sie so vehement und verbissen US-Interessen? Sind Sie kein Deutscher oder Europäer?

            @ alle anderen, die sich für den autoritären Charakter und das Weltbild von W. Heidecker interessieren:
            https://netzpolitik.org/2016/alles-gelogen-bild-de-befoerdert-edward-snowden-zum-russen-spion/#comment-2059822

          5. @Gladio

            Es gibt Fragen, die eine Antwort rechtfertigen und fragen, die man … sagen wir mal ignorieren kann, weil sie nur auf eine irgendwie geartete Provokation ausgerichtet sind. Ihre Fragen gehören in die letztere Kategorie. Vielleicht finden Sie ja jemand, der darauf einzugehen wünscht. Ich muss dies nicht tun, weil Sie außer gezielte Provokationsversuche keinen Inhalt haben.

            Auf eines lassen Sie mich jedoch doch eingehen: „Warum verteidigen Sie so vehement und verbissen US-Interessen? Sind Sie kein Deutscher oder Europäer?“

            Die Reaktion der europäischen Politik hat hier einfach nichts mit Aufrichtigkeit und Wahrhaftigkeit zu tun. Hier wird in einer hyperizierenden Aufmerksamkeitserheischung von einigen linken Kreisen das alte Feindbild USA an die Wand gemalt … der große Satan. Vielleicht fehlt es hier an der Argumentationsbasis und man hat keine anderen Themen mehr, auf die man Antworten findet. Dies ist es meiner Meinung vor allem, da man innerhalb Europas sich nicht mehr traut, Diskussionen in einer Form wie Gysi, Strauss, Kohl, Westerwelle, Fischer oder Wehner zuzuspitzen. Der Political Correctness wird alle inhaltliche Auseinandersetzung untergeordnet.
            Und: Hier wird ein Verbrecher in die Höhe gejubelt, der es gar nicht verdient. Ihr Link zeigt dies sehr deutlich … genau dort werden diese Dinge von mir angesprochen.

            Achso: „autoritären Charakter“ … noch lächerlicher können Sie sich anscheinend nicht machen.

          6. @ W. Heidecker

            Sachlich-kritische, inhaltsbezogene Fragen sind für Sie also „gezielte Provokationsversuche“?
            Unangenehme Fragen, die Ihre faktenfreien Verleumdungen gegen Edward Snowden aufdecken, sind „gezielte Provokationsversuche“?
            Können Sie mir die Fragen aufzeigen, die „keinen Inhalt“ haben sollen?

            Welche „linken Kreise“ „malen“ hier das „alte Feindbild USA“, den „großen Satan“?
            Darf man Ihrer Ansicht nach die US-Regierung nicht kritisieren?
            Ist die US-Regierung jeder Kritik erhaben?
            Und warum sind Sie überhaupt so erpicht darauf, die US-Regierung zu verteidigen?

            Wollen Sie deutsche Unternehmen nicht gegen US-Wirtschaftsspionage schützen?
            Wollen Sie deutsche Staatsbürger nicht gegen Entführung und Folter durch die CIA schützen?
            Wollen Sie Bundestag und Bundesregierung nicht gegen US-Politspionage schützen?
            Haben Sie kein Ehrgefühl als Deutscher?
            Sind Sie kein Patriot?

            Weshalb soll man Sie nicht als autoritären Charakter einstufen?
            Haben Sie uns nicht ausreichend Anschauungsmaterial geliefert, wie Sie hier von oben herab Ihre Diskutanten abkanzeln und ein obrigskeitsstaatliches Gesellschaftsmodell predigen?

            PS: Da Sie im anderen Thread zu Snowden Martin „empfehlen“ „erst mal richtig argumentieren zu lernen“, darf ich Sie darauf hinweisen, dass Sie nach allen Maßstaben des rhetorischen Meinungskampfes schon lange verloren haben. Das Publikum hat sich sein Urteil schon längst bilden können. Lernen Sie also erst einmal, die Kunst des Meinungskampfes siegreich zu führen. Nicht umsonst spricht hier eine Person namens Gladio mit Ihnen. Auch wenn Sie versucht haben, nicht in die Fallen zu tappen, konnten Sie Ihr Gemüt nicht im Zaum halten und haben sich selbst entlarvt.

          7. @Gladio

            „Sachlich-kritische, inhaltsbezogene Fragen sind für Sie also „gezielte Provokationsversuche“?“
            Die Aneinanderreihung reichlich dümmlicher Fragen sind weder sachlich-kritisch noch inhaltsbezogen. Dazu müssten Sie einmal lernen zu argumentieren, um die Fragestellung aufzubauen.

            „Das Publikum hat sich sein Urteil schon längst bilden können.“
            Sie sind das Publikum? Wie vermessen, sich als die Gesamtheit zu bezeichnen …

            „Auch wenn Sie versucht haben, nicht in die Fallen zu tappen, konnten Sie Ihr Gemüt nicht im Zaum halten und haben sich selbst entlarvt.“
            Lol … naja, wenn Sie meinen. Aber ich vermute, dies meinen auch nur Sie.

      2. Snowden hat geschützte Daten an die Öffentlichkeit gebracht. Nennt man u.a. Verletzung des Datenschutzes

        und nebenbei auch Geheimnisverrat.

        1. Was war nochmal die juristisch korrekte Definition von „Datenschutz“?

          Warum waren die durch Edward Snowden an die Öffentlichkeit geratenen Informationen „geschützt“ und als „geheim“ klassifiziert?

    2. Ich kann das Problem nachvollziehen, welches Sie erwähnen. Es kann durchaus gefährlich werden für Personen mit etwas Sachverstand zum Thema Netze, Firewall und Co. Was macht der gute Admin nun, wenn das größte bisher aufgedeckte IT-Leck aller Zeiten überall in den Medien aufgedeckt wird?

      Er wird sich eventuell die geheimen veröffentlichten Dokumente greifen, durcharbeiten und prüfen, in welchem Umfang seine eigene Struktur betroffen ist. Dass das für eine solche zivile Person nicht angenehm ist, ist dabei der erste unangenehme Nebeneffekt. Der Zweite wird sein, dass das auch andere Parteien spitz bekommen, wenn Du als Netzwerkadmin, Firewalladmin das Zeugs durcharbeitest und ggf. Maßnahmen ergreifst, um das Abschnorcheln zu beenden oder zumindest einzuschränken.

      Im schlimmsten Fall hast Du dann einen ausländischen Geheimdienst an der Backe, eine Spinne im Team und eine plötzlich auf der Intensivstation liegende Mutter zu versorgen, die einfach so ausgeraubt mit Herzstillstand auf offener Straße gefunden wurde, wärend am gleichen Tag Telefonterror und andere Sachen aus dem Baltikum stattfinden. Ja, ist mir so passiert.

      Ich persönlich steige nach diesen Erfahrungen aus dem Job aus. Ich bin letztlich nur ein normaler Bürger und kann die Entwicklung in den Datennetzen eh nicht abändern. Aber es hat definitiv Beschädigungen hinterlassen, insbesondere in Sachen Vertrauen, ob in den Job, in die Technik oder in das Zwischenmenschliche allgemein. Somit finde ich manche Aussagen in Ihrem Posting nicht trollig, sondern vollkommen richtig. Es ist für viele Parteien gefährlich und hat sicher auch Zivilisten in bestimmten Positionen in Gefahr gebracht, sie ggf. gezwungen aus bestimmten beruflichen Positionen auszusteigen. Das weiß bloß kaum Jemand.

  2. Was interessiert denn schon ein Gerichtsurteil des höchsten EU-Gerichts. Legal – illegal – scheißegal. Die Mühlen der Gerichte arbeiten bekanntlich langsam und bis zu einem neuen Urteil wird sicher eine lange Zeit vergehen. So lange können die USA wieder Daten abschöpfen und bekommen sie frei Haus geliefert. Hauptsache die Unternehmen können bequem und vor allem billig die Daten ihrer Kunden (die auch schon mal zur Ware gemacht werden) einfach und bequem verhökern und müssen sich nicht selbst und sie kümmern. Das würden ja Kosten verursachen, davor muss die Politik die Konzerne und Unternehmen schützen.

    Warnhinweis: Dieser Beitrag enthält Zynismus, Sarkasmus und Ironie.

      1. Ihnen ist schon bekannt, dass US-Unternehmen bei Geschäftstätigkeit in der EU EU-Gesetzen unterworfen sind?

        1. @Gladio

          Ihnen ist scheinbar der Unterschied zwischen Behörde und Unternehmen nicht bekannt, ebensowenig wie internationale Vereinbarungen zur Staatenimmunität. Daher erübrigt sich jedes weitere Eingehen auf Sie.

          1. @ W. Heidecker

            „Daher erübrigt sich jedes weitere Eingehen auf Sie.“
            Entledigen Sie sich auf diese Weise unangenehmer Fragen?

            Was sind „internationale Vereinbarungen zur Staatenimmunität“?
            Meinen Sie die „Staatenimmunität“, die der US-Regierung erlaubt, fremde Staatsbürger auf fremden Hoheitsgebiet zu entführen und zu foltern?

            „Ihnen ist scheinbar der Unterschied zwischen Behörde und Unternehmen nicht bekannt“?
            Können Sie das näher erklären? Sind Sie der Meinung, dass US-Behörden und US-Unternehmen mit EU-Bürgern und deren Daten tun und lassen können, was sie wollen?

          2. Ach Gladio

            lernen Sie einmal ein Argument aufzubauen und durchzustehen. Und befassen Sie sich mit den Themen, über die Sie diskutieren wollen … so machen Sie sich lächerlich.

  3. Verdamt !

    Warum können Daten europäischer Bürger nicht in Rechenzentren auf europäischem Boden verarbeitet werden und unter europäischem Datenschutz-Recht ?

    Warum müssen wir alles Gratis nach USA liefern und uns dann für dumm verkaufen lassen?
    Auch in USA hat es verteilte Rechenzentren, dann können auch Rechenzentren hier in EUROPA auch betrieben werden.

    Das würde Investitionen, Arbeitsplätze und Inovationen auf europäischem Territorium auslösen !

    Warum müssen wir mit aller Gewalt zum Schaden unserer Bürger den USA immer zu Kreuze kriechen.

    Haben wir Europäer kein Selbstbewusstsein mehr?

    Sind wir zu ALLEM UNFÄHIG ?

    MÜSSEN WIR DAS UNS VON UNSEREN VERRÄTERN IN DER POLITIK BESTÄTIGEN LASSEN ?

  4. W. Heidecker macht es sich mit seiner Argumentation sehr leicht… Lässt auf einen schwachen Charakter schließen, der aus Angst die Augen vor der Realität schließt.

    1. Lol

      Komisch, dass Sie immer gleich anfangen zu diffamieren. Lässt auf einen schwachen Charakter und fehlende Argumentationsbasis schließen ;-)

  5. Frage – wie sieht eigentlich die Situation aus beim Datentransfer für NICHTkommerzielle Organisationen? Beispielsweise Fachgesellschaften, global tätige Hilfsorganisationen etc.?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.