Die Verhandlungen zum EU-US-Datenschutzabkommen für den Austausch persönlicher Daten für Strafverfolgungszwecke (Umbrella Agreement) laufen im Geheimen – und das seit 2010. Wir veröffentlichen hier den letzten uns nun vorliegenden Entwurf vom 16. März 2015. Bereits im April 2014 haben wir ein Arbeitsdokument, ein sogenanntes Non-Paper, zugänglich gemacht. Den echten Entwurf bekamen bisher nicht einmal die EU-Parlamentarier zu Gesicht. Erst die Endfassung, die von der Kommission mit Mandat der Ratsentscheidung verhandelt wird, soll ihnen vorgelegt werden.
Bisher: Fragmentierte Abkommenslandschaft
Bisher sind EU-US-Abkommen zum Thema Strafverfolgung fragmentiert, auf insgesamt sieben Einzelabkommen:
- Datenaustausch mit Europol
- Auslieferungsabkommen
- Rechtshilfe in Strafsachen
- Passagierdaten
- Austausch von Finanzverkehrsdaten aus SWIFT für das Terrorist Finance Tracking Program der USA
- Abkommen zur Containersicherheit
- Eurojust-Vereinbarung
Es scheint sinnvoll, all diese Einzelvereinbarungen unter einem Schirm zu vereinen, was die Betroffenenrechte angeht. Denn das soll das Umbrella Agreement regeln – nicht den Datenaustausch selbst. Die anderen Vereinbarungen werden also nicht ersetzt, sondern ergänzt.
Und so wundert es, dass seit dem Beginn der Verhandlungen 2010 so wenig passiert ist. Ursprünglich hatte die EU nach dem SWIFT-Abkommen klare Regeln für ihre Bürger gefordert, Amerika hat pro Forma mitgespielt, der Vorgang ist jedoch recht schnell wieder eingeschlafen.
Neue Fahrt aufgenommen hat die Arbeit wohl im Zuge der Snowdenenthüllungen. Die EU-Kommission sprach davon, „das Vertrauen in EU-US-Datenübertragungen wiederherzustellen.“ Die damalige Justizkommissarin Viviane Reding sagte:
There is now a window of opportunity to rebuild trust which we expect our American partners to use, notably by working with determination towards a swift conclusion of the negotiations on an EU-U.S. data protection ‚umbrella‘ agreement.
Aber auch seitdem geht es nur schleppend voran, man kann sich vorstellen, wie die USA den Prozess blockieren und die EU keine rechten Druckmittel hat.
Was will die EU?
Öffentlich wurde immer wieder beteuert, wie wichtig ein Datenschutzabkommen sei, vor allem um die Rechte europäischer Bürger zu schützen. Dementsprechend gab es 2013 – kurz nach den ersten Veröffentlichungen in Punkto PRISM – eine Entschließung des EU-Parlamentes mit folgenden Forderungen:
[Das Europäische Parlament] fordert die Kommission und die US-Behörden auf, die Verhandlungen über das Rahmenabkommen zum Schutz personenbezogener Daten nach der Übertragung und Verarbeitung für Zwecke der polizeilichen und justiziellen Zusammenarbeit unverzüglich wiederaufzunehmen; fordert die Kommission auf, im Rahmen dieser Verhandlungen sicherzustellen, dass das Abkommen mindestens die folgenden Kriterien erfüllt:
a) EU-Bürgern muss ein Auskunftsrecht gewährt werden, wenn ihre Daten in den Vereinigten Staaten verarbeitet werden;
b) es muss sichergestellt werden, dass der Zugang von EU-Bürgern zum Rechtssystem der Vereinigten Staaten dem Zugang entspricht, den US-Bürger genießen;
c) insbesondere muss ein Recht auf Rechtsschutz eingeräumt werden;
Im Kern lautet die Forderung also, die Diskriminierung von Nicht-US-Personen zu beenden. Denn in den USA wird gern davon ausgegangen, dass Menschenrechte für Bürger anderer Staaten nicht bindend seien, was bereits der UN-Menschenrechtsausschuss angemahnt hat.
Was steht drin?
Auf 16 Seiten in 30 Artikeln wird vereinbart, wie der Austausch auszusehen hat, welche Daten an wen (weiter-)übertragen werden dürfen, wie sie gesichert werden müssen, wie lange gespeichert werden und wer zugreifen darf und welche Rechtsmittel Betroffenen des Datenaustauschs zustehen. Klingt erstmal gut, bis man sich ansieht, wie schwammig die Formulierungen sind und vor allem – was fehlt. Nämlich primär die vom EU-Parlament verlangten Punkte.
Zum Thema Verantwortlichkeit wird gesagt:
The Parties shall have in place measures to promote accountability by their authorities in carrying out this Agreement in accordance with their respective laws.
Zum Thema automatisierte Entscheidungen, die auf Basis der ausgetauschten Daten getroffen werden:
[Automated decisions] may not be based solely on the automated processing of personal information without human involvement, unless authorized under domestic law, […]
Klartext: Automatisierte Entscheidung ohne menschliche Prüfung sind verboten, außer sie sind durch inländisches Recht erlaubt. Also im Zweifel erlaubt.
Wenn es darum geht, dass dem Bürger Auskunftsrecht gewährt werden soll, sieht es ähnlich aus. Es bleibt die HinterVordertür, dass der Zugang zu den persönlichen Daten nach „den rechtlichen Rahmenbedingungen des Staates geregelt wird, in dem der Zugang gesucht wird.“ Und die Möglichkeiten, den Zugang zu blockieren gehen noch weiter. Sieben verschiedene Gründe gibt es, „angemessene Beschränkungen in inländischem Recht“ umzusetzen, natürlich mit guten Bekannten wie der Gefährdung nationaler Sicherheit und der Behinderung der Arbeit von Strafverfolgern. Es wird also faktisch immer einen Weg geben, einen Auskunftsanspruch zu verweigern. Gleiches gilt für Transparenzpflichten.
Will man Rechtsmittel einlegen, gilt wieder die Anwendung nationaler Gesetze. Von einer Abschaffung der Ungleichbehandlung von US-Personen und Nicht-US-Personen ist man dementsprechend noch meilenweit entfernt, solange die USA letztere nicht als Menschen mit vollem Anspruch auf Grundrechte ansehen.
Im letzten bekannten Arbeitsentwurf war das noch unklar, das derzeitige Ergebnis: Enttäuschend.
Nicht-US-Bürger sind immer noch nicht US-Bürger
Wo ist die Aufhebung der Diskriminierung nun? Die Antwort gibt der Entwurf uns selbst. In Artikel 5 zur Nicht-Diskriminierung lesen wir nur:
[This article is still under discussion with the US]
Was das heißt, können wir uns denken. Den Optimismus von Jan-Philipp Albrecht, grüner EU-Parlamentarier, nach einem Besuch in Washington im März 2015 können wir da leider nicht teilen:
Our numerous talks with high-ranking officials of the administration, as well as with members of Congress, showed that there is willingness on all sides to get equal treatment for EU and US persons when exchanging information across the Atlantic.
Denn man war schon einmal weiter. Und in Kommissionskreisen bedauert man, dass die USA wieder zurückgerudert sind, weil sie eine Gleichbehandlung nicht garantieren können.
Wie geht es jetzt weiter?
Laut unseren Informationen soll das Umbrella Agreement auf dem Treffen der Justiz- und Innenminister von EU und USA in Riga am 2. und 3. Juni initialisiert werden – wie auch Safe Harbor.
Unterzeichnet wird die Vereinbarung noch nicht, dafür fehlt es – neben den noch unklaren Klauseln im Vereinbarungstext – an einer Gesetzesänderung in den USA. Im US Privacy Act ist nämlich festgelegt, dass nur US-Personen Klage aufgrund von Datenschutzverstößen einreichen dürfen – was mit der Gleichstellung anderer Bürger unvereinbar wäre. Der US-Kongressabgeordnete Jim Sensenbrenner hat am 18. März 2015 eine Änderung des Privacy Acts in den Kongress eingebracht. Der Judicial Redress Act 2015:
Extends citizens of major U.S. allies the core benefits that Americans enjoy under the Privacy Act with regard to information shared with the United States for law enforcement purposes.
Wichtige US-Verbündete also sollen gleiche Rechte haben – nicht alle. Von Gleichbehandlung scheint das noch weit entfernt und so auch der Abschluss des Umbrella Agreements. Da sich nach den Ministern das Parlament den Entwurf anschauen wird, kann es auch noch länger als ein Jahr dauern, das wurde uns aus Parlamentskreisen bestätigt. Außerdem müsse man genau auf die Vereinbarung schauen, denn sie könnte schwerwiegende Auswirkungen haben, auch in Bezug auf die geplante EU-Datenschutzgrundverordnung. Das muss genau geprüft werden.
Doch was das Umbrella Agreement auf keinen Fall werden darf: Ein Beruhigungsdrops der USA an die EU. Ein solcher Versuch, Vertrauen zu generieren, reicht nicht aus. Schon gar nicht, wenn in den Verhandlungen klar wird, wie sehr versucht wird, möglichst viele und große Schlupflöcher offen zu halten.
Der Judicial Redress Act ist Augenwischerei – das kann man gleich in den ersten Absätzen sehen:
Klagen dürften wir nur gegen Bundeseinrichtungen – und -jetzt kommt’s- nur bei Absicht/Vorsatz!
Nix Gleichbehandlung – und jemandem Vorsatz nachzuweisen und dabei z.B. grobe Fahrlässigkeit als Möglichkeit sicher auszuschließen, das ist ein verdammt dickes Brett.
Wer hier das Wort Gleichbehandlung in den Mund nimmt, lügt.