Das EU-Parlament hat sich heute in einer nicht-bindenden Resolution für Nachbesserungen beim geplanten Privacy-Shield-Abkommen zwischen der EU und den USA ausgesprochen. Die Vereinbarung wurde von der EU-Kommission als Nachfolgeregelung für die vom Europäischen Gerichtshof (EuGH) im Oktober 2015 gekippte Safe-Harbor-Entscheidung auf den Weg gebracht. Sie soll die Erfüllung europäischer Datenschutznormen bei Datenübermittlungen in die USA, wie sie etwa bei der Nutzung von Social-Media-Plattformen täglich anfallen, sicherstellen. Der Entwurf des Abkommens wurde von der Zivilgesellschaft scharf kritisiert.
Bevor das Abkommen in Kraft treten kann, muss der sogenannte Artikel-31-Ausschuss, in dem Regierungsvertreter der EU-Mitgliedsstaaten zusammenkommen, entscheiden, ob er das erreichte Datenschutzniveau für angemessen hält oder ein Veto einlegt. Laut Ars Technica wurde in diesem Gremium noch keine Einigung erzielt, die Entscheidung soll aber wohl im Juni fallen. Nachdem im April bereits die „Artikel-29-Arbeitsgruppe“ der europäischen Datenschutzbeauftragten ein nicht bindendes Votum abgegeben und Nachbesserungen eingefordert hat, kommt nun Kritik vom EU-Parlament.
So geht es nicht
Grundsätzlich begrüße man die „wesentlichen Verbesserungen“, die im Vergleich zu Safe Harbor erreicht würden. In zentralen Punkten übt das EU-Parlament jedoch Kritik, etwa daran, dass US-Behörden auch nach der neuen Regelung weiterhin Zugriff auf Daten europäischer Bürger hätten. Die als „Sammelerhebung personenbezogener Daten“ umschriebene Massenüberwachung werde nicht wirksam genug eingegrenzt, um den laut EU-Grundrechtecharta notwendigen Kriterien „Notwendigkeit“ und „Angemessenheit“ zu entsprechen. Die Benennung einer Ombudsfrau im US-amerikanischen Außenministerium sei zwar ein guter erster Schritt, die Stelle sei jedoch „nicht unabhängig genug und nicht mit den geeigneten Befugnissen für eine wirksame Ausübung und Durchsetzung ihrer Aufgaben ausgestattet.“ Zudem fordert das Parlament von der Europäischen Kommission, für echte Rechtssicherheit zu sorgen, indem sie „auf eine Klärung des rechtlichen Status der schriftlichen Zusicherungen („written assurances“) der USA“ hinwirkt.
Alexander Sander vom Verein Digitale Gesellschaft wertet das Votum des Parlaments als klaren Auftrag an die EU-Kommission, die von Datenschützern und Zivilgesellschaft geäußerte Kritik umzusetzen:
Die Entschließung des Europäischen Parlaments ist ein klares und richtiges Signal an die Kommission, das Privacy Shield in wesentlichen Punkten nachzuverhandeln. Ohne substanzielle Verbesserungen auch und gerade bei der Rechtslage in den Vereinigten Staaten wird ein angemessenes Schutzniveau für die Daten der EU-Bevölkerung nicht zu erreichen sein.
Keine Forderung des Parlaments nach zeitlicher Begrenzung
Die Resolution wurde mit großer Mehrheit von 501 Ja- zu 119 Nein-Stimmen bei 31 Enthaltungen angenommen. Sowohl konservative und sozialdemokratische als auch liberale Abgeordnete stimmten mehrheitlich für die Resolution. Für die Fraktion der Europäischen Volkspartei (EVP) kommentierte die Abgeordnete und ehemalige Vizepräsidentin der EU-Kommission, Viviane Reding:
Ich begrüße die zahlreichen und weitreichenden Verbesserungen mit Blick auf die Transparenz, Aufsicht und Kontrolle der Vorgehensweisen von Firmen. Dennoch bedauere ich, dass nur wenige Garantien hinsichtlich der Aktivitäten von US-Geheimdiensten gewonnen wurden. Das Problem ist und bleibt, dass die Berufung auf nationale Sicherheitsinteressen als pauschale Ausnahmeregelung dienen kann.
Abgeordneten der Grünen und Linken geht das Votum des Parlaments nicht weit genug. Die Fraktion der Grünen um ihren innen- und justizpolitischen Sprecher Jan Philipp Albrecht konnte sich mit einem Ergänzungsvorschlag, das Privacy-Shield-Abkommen von vorneherein auf eine Dauer von maximal vier Jahren zu begrenzen und dann erneut zu prüfen, nicht durchsetzen. Die Grünen stimmten deshalb ebenso wie die Fraktion der Linken mehrheitlich dagegen. Cornelia Ernst, netzpolitische Sprecherin der Delegation DIE LINKE. im Europaparlament, erklärte:
Alle Abgeordneten des Europaparlaments wissen doch, dass das neuverpackte Abkommen keinen Vertragscharakter hat, gesetzlich nicht verankert wird. Zwar können sich EU-Bürgerinnen und Bürger an einen Ombudsmann wenden, aber wie uns John Kerry höchstpersönlich in Annex III mitteilt, „wird der Ombudsmann weder bestätigen noch verneinen, ob irgendjemand das Ziel von Überwachung ist“ und „auch keine Rechtsmittel benennen“. Da hätte die US-Regierung auch gleich einen Anrufbeantworter als Ombudsmann bestellen können. Eine Politik des Kotaus angesichts eines allzu großen Bruders gehört nicht in aufgeklärte Demokratien.
Facebooks Datenübermittlungspraxis kommt erneut vor den EuGH
Unterdessen hat Max Schrems, Datenschutzaktivist und Gründer der Initiative europe-v-facebook.org, bekannt gegeben, dass die irische Datenschutzbehörde ihn informiert hat, nun auch die sogenannten „Standardvertragsklauseln“ zu prüfen. Diese alternative juristische Grundlage, auf die sich Facebook und Co. seit dem Wegfall von Safe Harbor bei der unveränderten Übermittlung personenbezogener Daten in die USA stützen, wird vom EuGH nun vermutlich ebenfalls für ungültig erklärt, so die Hoffnung. Schrems:
Solange die weitreichenden US-Gesetze es erlauben, dass die Vereinigten Staaten diese Daten bei US-Unternehmen abgreifen, werden die betroffenen Datentransfers in die USA immer mit EU-Grundrechten kollidieren. Ich sehe keine Möglichkeit, dass der EuGH aus diesen Gründen erst das Safe Harbor-System killt und das gleiche Problem nicht auch bei Standardvertragsklauseln sieht. Alle Datenschutzexperten wussten, dass diese Verträge rechtlich fraglich sind, aber es war eben bisher die einfachste und schnellste Lösung. Solange die USA ihre Überwachungsgesetze aber nicht substanziell ändern, sehe ich keine Lösung des Problems.
Die Notwendigkeit, eine sichere rechtliche Grundlage für den transatlantischen Datenverkehr zu schaffen, erhöht sich durch diese Entscheidung der irischen Behörde nochmals. Alexander Sander betont, wie wichtig es dafür ist, tatsächlich auch im Empfängerland ein angemessenes Datenschutzniveau zu garantieren:
Die Kommission steht unter großem Druck, nun endlich Nägel mit Köpfen zu machen und eine taugliche Rechtsgrundlage für transatlantische Datenflüsse auszuhandeln. Selbst wenn das Privacy Shield in Kraft gesetzt wird, bevor der EuGH über die Standardvertragsklauseln entscheiden kann, hätte die Kommission damit nicht viel gewonnen. Es ist lediglich eine Frage der Zeit, bis sich der Gerichtshof auch mit dem Privacy Shield befassen und es als Verstoß gegen EU-Grundrechte verwerfen wird.
Das Sternenbanner erweckt den Eindruck, die EU sind eine Erfindung der USA oder doch beide eine Erfindung von ???. Indien und Pakistan sind einen anderen Weg gegangen. Naja…