Die EU-Kommission soll einen finalen Entwurf des Privacy-Shield-Abkommens fertiggestellt und ihn an die EU-Mitgliedsstaaten versandt haben. Das berichten gestern übereinstimmend die New York Times sowie Arstechnica. Bereits am kommenden Montag soll über eine etwaige Zustimmung entschieden werden, damit das Abkommen so schnell wie möglich in Kraft treten kann.
Die Vereinbarung soll das im Oktober 2015 vom Europäischen Gerichtshof (EuGH) gekippte Safe-Harbor-Abkommen ersetzen und künftig als Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA dienen. Erreicht werden soll dadurch ein Datenschutzniveau, das die Grundrechte europäischer Bürger schützt und verhindert, dass deren Daten ungehindert an US-amerikanische Geheimdienste gelangen.
Massenhafte Datensammlung weiterhin erlaubt
Bisher bekannt gewordene Entwürfe sahen sich jedoch starker Kritik ausgesetzt, unter anderem aus der Zivilgesellschaft und dem EU-Parlament. Zuletzt hatte der EU-Datenschutzbeauftragte Giovanni Buttarelli Nachbesserungen am Abkommen gefordert. Tatsächlich enthält die nun geleakte Fassung des Textes Änderungen im Vergleich zu früheren Versionen, schreibt Spiegel Online. Grundsätzlich wurde jedoch nichts verändert, der grüne Europaabgeordnete Jan Philipp Albrecht sprach von „bestenfalls kosmetischen Änderungen“.
So bleibt US-Geheimdiensten weiterhin die massenhafte Datensammlung „in sechs spezifischen Zwecken“ erlaubt und für die Speicherung personenbezogener Daten durch Unternehmen fehlen konkrete Speicherfristen. Etwas klarer ausgestaltet sind Regeln zum Auskunftsrecht und für den Fall, dass ein US-Unternehmen aus dem Regelwerk aussteigt oder ausgeschlossen wird. Dann müssen angesammelte Daten gelöscht werden. Zudem soll die oft bezweifelte Unabhängigkeit der Ombudsperson, die bei Beschwerden eingreifen soll, klarer definiert sein.
EU-Parlament darf nicht mitreden
Zwar hat auf EU-Ebene der sogenannte Artikel-31-Ausschuss zwei Wochen Zeit, um den Entwurf zu prüfen. Die Kommission übe jedoch erheblichen Druck auf die Mitgliedsstaaten aus, den Text so rasch wie möglich durchzuwinken. Von dieser Seite sei kein Widerstand mehr zu erwarten, heißt es. Dem EU-Parlament wiederum stehen keine Mittel zur Verfügung, um eine etwaige Absegnung zu verhindern. Generell setzt sich die Kommission für eine schnelle Neuregelung ein, da laut Albrecht eine Totalblockade Rechtsunsicherheit für viele Firmen bedeuten und die Nutzung zahlreicher Dienste erschweren oder verhindern würde. Als Kompromiss brachte der Abgeordnete eine auf zwei Jahre beschränkte Geltungsdauer ins Spiel: „Zwar müssten wir dann zwei Jahre lang mit Lücken leben, aber nicht für immer.“
„Riesendrama“ zu erwarten
Für Max Schrems, dessen Klage gegen Facebook letztlich das Safe-Harbor-Abkommen zu Fall brachte, hat sich nichts Grundlegendes im Vergleich zu den bisherigen Entwürfen geändert. In vier Bereichen gebe es weiterhin große Probleme, sagte der Jurist netzpolitik.org: was US-Unternehmen tun dürfen, was US-Behörden dürfen, und wie es mit der effektiven Durchsetzung von Rechtsansprüchen auf beiden Seiten des Atlantiks aussieht.
Auf US-Seite sei ein „Riesendrama“ zu erwarten, wenn ein EU-Bürger tatsächlich darauf bestehen sollte, seine Rechte gegenüber privaten Unternehmen einzufordern. Seinem aktuellen Wissensstand nach habe etwa die dahingehend zuständige Federal Trade Commission (FTC) keine Möglichkeit, sich beispielsweise Server anzusehen. „Im Streitfall steht dann Aussage gegen Aussage. Gewinnen wird das Unternehmen, weil niemand überprüfen kann, was genau passiert“, so Schrems. Insgesamt sei das Datenschutzniveau weit, weit weg vom europäischen, auch im Hinblick auf die EU-Datenschutz-Grundverordnung.
Gegenüber netzpolitik.org kommentierte Jan Philipp Albrecht via E‑Mail:
Verglichen mit dem Entwurf vom Februar sind die Änderungen rein kosmetisch. Der neue Entwurf geht nicht auf die klaren Forderungen der Resolution vom 26. Mai des Europäischen Parlaments ein, insbesondere in Bezug auf Massendatensammlung und den Befugnissen und Unabhängigkeit der Ombudsperson bei Massenüberwachung gibt es keine Verbesserungen. Die Datenschutzstandards und rechtlichen Garantien im privaten Sektor sind keineswegs in der Sache gleichwertig zu dem gewährleisteten Schutzniveau in der Europäischen Union. Falls die Kommission diesen Angemessenheitsbeschluss annimmt, muss dieser zeitlich begrenzt werden bis 2018 und Neuverhandlungen müssen auf Basis der neuen Datenschutzverordnung geführt werden. Wir können keinen Freifahrtschein geben für dieses unzureichende Abkommen!
[Update: Stellungnahmen von Max Schrems und Jan Philipp Albrecht eingefügt.]