Bürgerrechtsorganisation: Trumps Politik ist „der letzte Sargnagel des Privacy Shield“

Wegen Donald Trumps Politik sieht Access Now die Privacy-Shield-Verabredung zwischen der EU und den USA am Ende. Weil der US-Präsident in Sachen Datenschutz eine Kehrtwende hinlegt, müsse die EU-Kommission den transatlantischen Datenverkehr neu verhandeln.

Foto: frank mckenna unter CC0 via unsplash

In Anbetracht der jüngsten Entwicklungen in den USA sollte die EU-Kommission ihre Entscheidung widerrufen, das dortige Datenschutzniveau als nach EU-Standards angemessen anzuerkennen. Das fordert Access Now in einem offenen Brief [PDF] an EU-Kommissarin Věra Jourová und den Vorsitzenden des Parlamentsausschusses für Justiz und Inneres, Claude Moraes.

Die internationale Bürgerrechtsorganisation argumentiert darin, dass die im Rahmen des „Privacy-Shield“ gemachten Datenschutzzusicherungen der US-Regierung spätestens jetzt nicht mehr ausreichen, um Europäer ausreichend zu schützen.

Rückschritt bei Menschenrechten

Wie berichtet, hat US-Präsident Donald Trump jüngst mit einer sogenannten „Executive Order“ veranlasst, Nicht-US-Bürger von bestimmten Datenschutzgarantien auszunehmen und sie gegenüber US-Behörden wie dem FBI oder Geheimdiensten schlechter zu stellen.

Access Now weist zudem auf weitreichende personelle Veränderungen an wichtigen Stellen der US-Administration hin. So seien mit dem neuen CIA-Direktor Mike Pompeo und dem Justizminister Jeff Sessions erklärte Gegner einer Einschränkung der US-amerikanischen Massenüberwachung in entscheidende Positionen gelangt. Gleichzeitig sei das Privacy and Civil Liberties Oversight Board personell so geschwächt worden, dass es eine anstehende Prüfung des Einflusses der US-Überwachung auf Ausländer nicht vornehmen könne.

In einer Pressemitteilung erklärte Amie Stepanovich, US-Policy-Managerin bei Access Now:

Diese Administration hat deutlich gemacht, dass ihr an den Rechten vieler Gruppen wenig liegt – inklusive aller Menschen, die außerhalb der Vereinigten Staaten leben. Als Betreiber des größten und bestfinanzierten Überwachungsapparates der Welt haben die USA eine besondere Verpflichtung, Menschenrechte zu respektieren. Präsident Obama hat zumindest kleine Schritte in diese Richtung unternommen, doch die neue Regierung will diesen Fortschritt nicht nur ausradieren, sondern uns noch weiter zurücksetzen und jeden Anschein internationaler Führung untergraben, den dieses Land einst hatte. [Eigene Übersetzung]

Zentrale Grundlage des transatlantischen Datenverkehrs steht in Frage

In der Pressemitteilung heißt es weiter, die jüngsten Schritte der Trump-Administration würden einen Wandel in der Privacy-Politik der USA signalisieren. Dies sei „der letzte Sargnagel“ für die „Privacy Shield“ genannte Datenschutzübereinkunft, die die EU-Kommission im letzten Jahr mit der US-Regierung getroffen hat.

Erst im Juli 2016 hatte die EU-Kommission eine sogenannte Angemessenheitsentscheidung getroffen, die als rechtliche Grundlage dafür dient, dass personenbezogene Daten von Europäern in den USA verarbeitet werden dürfen, wie es etwa bei der Nutzung vieler Online-Dienste täglich der Fall ist. Die Voraussetzung dafür war die Privacy-Shield-Verabredung zwischen EU-Kommission und US-Regierung, die sicherstellen soll, dass in den USA gespeicherte und verarbeitete personenbezogene Daten europäischer Bürger den EU-Datenschutznormen entsprechend behandelt werden.

Die Vereinbarung war notwendig geworden, da die zuvor getroffene Safe-Harbor-Angemessenheitsentscheidung vom Europäischen Gerichtshof (EuGH) im Oktober 2015 für ungültig erklärt wurde. Anlass war die Massenüberwachung durch US-amerikanische Geheimdienste, die zum Beispiel im Rahmen des PRISM-Programms Daten von Nutzern großer Plattformen wie Facebook oder Google abgezogen haben.

Privacy Shield verpflichtet die US-Regierung unter anderem dazu, die massenhaft von EU-Bürgern gesammelten Daten nur noch unter bestimmten Bedingungen zu nutzen. Diese sechs Nutzungsfälle – unter anderem „Cybersecurity“ und „länderübergreifende kriminelle Bedrohungen“ – sind allerdings so breit gefasst, dass sie nicht zwangsläufig zu einer Einschränkung der US-Massenüberwachung führen. Außerdem wurde im Rahmen des Privacy Shields im US-Außenministerium die Stelle einer Ombudsperson geschaffen, die für Beschwerden europäischer Bürger zuständig ist. Kritiker weisen auf die mangelnde Unabhängigkeit und Durchsetzungsstärke einer solchen Stelle unter dem Dach der US-Regierung hin.

Weil sich zudem die Gesetzeslage in den USA nicht substanziell verbessert hat, gehen Datenschützer ohnehin davon aus, dass der Datenschutzschild ein ähnliches Schicksal wie Safe Harbor erleiden und die Angemessenheitsentscheidung der EU-Kommission vom EuGH gekippt werden wird. Im September 2016 haben die Aktivisten von Digital Rights Ireland bereits beim Gericht der Europäischen Union (EuG) eine Nichtigkeitsklage dagegen eingelegt.

Access Now: EU muss Stellung gegen Überwachung beziehen

Neben den inhaltlichen Schwächen war an Privacy Shield auch kritisiert worden, dass es sich dabei lediglich um schriftliche Zusagen der US-Regierung handelt und nicht um ein völkerrechtlich bindendes Abkommen. Genau dieser Schritt rächt sich in Anbetracht des neuen Windes aus Übersee nun. Fanny Hidvegi, EU-Policy-Managerin bei Access Now, kritisiert:

EU-Funktionäre haben das hohe Niveau des Rechts der Europäer auf Privatsphäre und Datenschutz aufgegeben, als sie dem Privacy Shield zugestimmt haben. Die Kommission muss auf die jüngsten Veränderungen der politischen und rechtlichen Lage in den Vereinigiten Staaten reagieren, die Zweifel an der Gültigkeit der „schriftlichen Zusicherungen“ nähren, die die Grundlage der Datentransfervereinbarung bilden. Die EU sollte Stellung gegen staatliche Überwachung beziehen, unabhängig davon, ob sie von den USA oder von EU-Mitgliedstaaten unternommen wird. Sie muss die Anwendung der EU-Grundrechtecharta in diesem Zusammenhang sicherstellen, um der Rechtsprechung des Europäischen Gerichtshofes für Menschrechte gerecht zu werden. [Eigene Übersetzung]

EuGH soll auch Standardvertragsklauseln prüfen

Unterdessen wird seit Dienstag in Irland wieder der Fall Schrems gegen Facebook verhandelt. Die irische Datenschutzbeauftragte Helen Dixon bat das Gericht dabei um erneute Anrufung des EuGH, wie die Irish Times berichtet. Sie sei zu der vorläufigen Einschätzung gelangt, dass die Privatsphäre der EU-Bürger, deren Daten in den USA gespeichert und verarbeitet werden, nicht ausreichend geschützt ist. Um eine endgültige Bewertung vornehmen zu können, müsse der EuGH die Gültigkeit der sogenannten Standardvertragsklauseln prüfen, auf die sich Facebook seit dem Wegfall des Safe-Harbor-Regimes bei seinen Datentransfers bezieht.

4 Ergänzungen

  1. Das Privacy-Shield und sein Vorgänger sind mit und ohne Trump das Papier nicht wert, auf dem sie geschrieben stehen. „Amerika first/only“ wurde nicht von Trump erfunden. Die USA lebt dieses Motto seit ihrer Gründung mit den bekannten mörderischen Folgen für andere. Die NSA erhält auch nicht dafür seine gewaltigen Mittel, um sich an ein Abkommen mit denen zu halten, die sie überwachen soll. Im Zusammenhang mit der Datensicherheit bei der Übertragung in die USA hat sich mit Trump nur eines verändert, es wird endlich unverhohlen zugegeben, dass sie nicht gewollt ist. Diese Ehrlichkeit gereicht diesem Mann und seiner Regierung zwar nicht zur Ehre, aber ohne den verlogenen Overhead kann man sinnlose Kosten und Mühen für überflüssige Placebo-Abkommen sparen.

  2. Es ist dringender denn je notwendig, dass Europa eigene Standards schafft und sich auch produkttechnisch vom Silikon Valley distanziert durch Konkurrenzprodukte „made in the EU“. Dazu sollte die Datenhaltung von Europäern bez. Cloud / E-Mails usw. nur noch im EU-Raum stattfinden, nicht in den USA.

    Es ist das Kernrisiko der heutigen Zeit, dass alle aufgezeichneten Daten der Europäer gegen sie eingesetzt werden, wenn in den USA der falsche Machthaber über diese Daten verfügt und sich dazu alle Geheimdienste dieser Welt über diese „Standardsoftware“ made in US hermachen.

    Aktuell sind keine Bedingungen für sichere und vertrauliche Kommunikation gegeben, die für den Erhalt demokratischer Systeme unerlässlich und dringend notwendig wären.

    Fast jedes Betriebssystem, jedes Smartphone, fast jede Software / App schickt Daten in die USA bzw. ist angreifbar / nicht ausreichend verschlüsselt usw. Diese Probleme zu unterbinden ist technisch extrem aufwändig, teilweise nicht praktikabel. Hier muss die EU ansetzen, nicht beim PrivacyShield. Das Papier schützt eh keine Daten, denn niemand muss sich daran halten und niemand weiß wirklich wo wann wie Daten in den USA verarbeitet, verfielfältigt, in andere / weitere Datenbanken geschoben werden.

    Wenn die EU sich weiter auf „Made in US“ ausruht, läuft sie Gefahr vollständig unterwandert zu werden. Spätestens bei einem Handelskrieg wären die Folgen dramatisch. Das gilt übrigens auch für US- Überwachungstechnik zur Überwachung des öffentlichen Raums. Ebenfalls ist das durchaus als gefährlich anzusehen.

    1. Dass sich irgendein Geheimdienst dieser Welt daran stört, dass etwas „Made in EU“ oder zumindest Nicht-US ist halte ich für Augenwischerei. Firmen wie Microsoft stellen aktuell auch schon reine Nicht-US Produkte bereit, z.B. die Deutschland Cloud [1], in der die T-Systems als Datentreuhänder fungiert und Microsoft keinen Zugriff auf Kundendaten hält. Das hat natürlich auch Nachteile, nicht zuletzt beim Preis. Initiativen wie Digital Hub [2] sind zwar nett und bestimmt richtig aber versuchen doch irgendwie eher das Silicon Valley nachzuahmen anstatt wirklich Neues zu kreieren. Sich von US Marken zu trennen wird kaum möglich sein.
      Ich denke es geht nur über den Druck auf die anbietenden Unternehmen (egal woher sie kommen) und den entsprechenden Strafen bei Non-Compliance mit Datenschutzrichtlinien. Machen wir uns nichts vor – Auswirkungen auf Umsatz ist das einzige, was die Unternehmen zu Datenschutz antreibt.

      [1] https://azure.microsoft.com/en-us/overview/clouds/germany/
      [2] http://www.de.digital/DIGITAL/Navigation/EN/Digital-Hub-Initiative/digital-hub-initiative.html

  3. Der Punkt ist doch der, Trump und auch seine Vorgängern hatten und haben keinen blassen Dunst von dem, was sie da machen, sie werden erst nach der Wahl instruiert!
    Die einen, wie G-W.Bush Jr., sind Marionetten ihrer Berater, die Anderen aktieren im Rahmen der Wünsche ihrer Wahlsponsoren, die halbwegs wissen wie die Welt funktioniert, ihr wisst schon, das mit dem Leben und Leben lassen, damit die Profite nicht einbrechen, weil der Absatzmarkt weg bricht!
    Weswegen ja die teuren Kriege nicht in betuchten Ländern, sondern in recht armen Ländern geführt werden!
    Bei Trump haben wir eine Form des Dilemmas, das Amerika und wir Europäer noch nicht hatten.
    Er fühlt sich nicht an die Beratung seiner Untergebenen gebunden, noch lässt er sich die Wünsche seiner Sponsoren aufdrängen und was noch schlimmer ist, er ist bildungstechnisch gesehen, genau so gebildet wie G.W.Bush Jr., also ein durchschnittlich gebildeter Amerikaner, der erst mal in seinem neuen Job angelernt werden müsste, was er aber als „Big Boss“ nicht einsehen mag!
    Das führt dann zu leichten Defiziten im Bereich Basiswissen, wie z.B. dem Inhalt des Start Abkommens (ihr wisst schon, Reduzierung des Atomwaffenarsenals, statt 7x lediglich 4x die Erde in die Luft jagen zu können bla bla), über das Trump mit Putin zu palavern hatte!
    Geben wir ihm da doch noch ein wenig Zeit, G.W. hat in seiner Amtszeit 2 Kriege angefangen und wir ärgern uns mit den Hinterlassenschaften rum.
    Trump kann es also in dieser Hinsicht nicht schlimmer machen, es sei denn, er involviert sein eigenes Land!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.