Safe Harbour ist tot. Darüber sind sich, zumindest hier in Europa, alle einig. Nachdem der Europäische Gerichtshof (EuGH) letztes Jahr aufgrund der Klage von Max Schrems das Safe Harbour Abkommen über den Datentransfer in die USA gekippt hatte, verhandelt die EU-Kommission mit den US-Behörden über neue Regelungen.
Letzte Woche präsentierte die zuständige Kommissarin V?ra Jourová die ersten Ergebnisse. Durch die Bank waren die europäischen DatenschützerInnen von dem Gesagten enttäuscht. Max Schrems bezeichnete das Ganze als „Safe Harbour 1.1.“ und auch viele andere sehen keine großen Verbesserungen für den Datenschutz.
Als allererstes sticht ins Auge, dass es bisher keine schriftlichen Vereinbarungen gibt. Laut Jourová werde die Ausarbeitung eines schriftlichen Dokuments der getroffenen Regelungen noch einige Wochen dauern. Bedenklich ist auch die Tatsache, dass das sogenannte EU-US Privacy Shield weder ein Abkommen noch ein Gesetz wird sondern lediglich eine Entscheidung der EU-Kommission, die zwar auf EU-Recht basiert, aber nur in Kraft treten kann, wenn der US-Kongress das EU-US-Datenschutzrahmenabkommen (Umbrella Agreement) sowie den Juridicial Redress Act – EU-BürgerInnen wird damit ein beschränktes Klagerecht in den USA eingeräumt – verabschiedet. So weit ist es allerdings noch lange nicht.
EU und USA noch uneinig
Bisher herrschen noch fundamentale Differenzen zwischen den USA und der EU was das angestrebte Schutzniveau der Daten von EU-BürgerInnen vor den US-Behörden betrifft. Die Grundlage für die neuen Vereinbarungen sind ein paar Briefe von US-Geheimdienstkoordinator James Clapper. Das ist wiederum jener Mann, der den US-Kongress über das Ausmaß der NSA-Überwachung belogen hat und trotzdem im Amt bleiben durfte. Die schriftlichen Versicherungen besagen, dass es keine „unterschiedslose Massenüberwachung von personenbezogenen Daten, die in die USA übertragen werden“ mehr geben wird. Was genau dies bedeuten soll ist allerdings völlig unklar.
Was ist mit der rechtlichen Verbindlichkeit?
Es werden aus den Verhandlungen also kein US-Gesetz, keine präsidiale Verfügung, noch nicht einmal ein Vertrag zwischen der EU und den USA entstehen. Viele Fragen sind noch offen. Alleine die Formulierungen über die Einschränkungen bei Massenüberwachung und Datensammlung sind sehr vage und zum Teil unklar. Was bedeutet es, dass Massenüberwachung mit minimaler Einschränkung erlaubt ist? Ist ein massenhaftes Abgreifen von nicht unmittelbar personenbezogenen Daten in Ordnung? Wäre der Zugriff auf die Daten noch vor ihrer Übertragung in die USA möglich? Zählt die Sammlung von Daten, ohne sie auszuwerten, bereits als Überwachung? Die USA sehen das nicht so, die EU hingegen schon. Vieles wird also von der Formulierung der Regelungen sowie der Unabhängigkeit und Berechtigung der Kontrollinstanzen und dem Ehrenwort des Geheimdienstkoordinators abhängen.
Auch das unabhängige Beratungsgremium in Sachen Datenschutz für die Kommission, die Article 29 Working Party (WP 29), hat seine Bedenken was die Vereinbarungen angeht. Für die Ausverhandlung hat das Gremium vier essentielle Garantien festgelegt, die um jeden Preis eingehalten werden müssen. Es braucht präzise und zugängliche Regeln. Jeder der angemessen informiert ist, sollte vorhersehen können was mit seinen Daten passiert und wohin sie übertragen werden. Die Grundsätze der Notwendigkeit und Proportionalität müssen eingehalten werden. Das heißt es muss eine Balance zwischen dem Grund der Datensammlung und den individuellen Rechten geben. Ein unabhängiger Kontrollmechanismus ist unabdingbar, um die Einhaltung der vereinbarten Regeln zu gewährleisten. Effektive Rechtsmittel müssen den EU-BürgerInnen zur Verfügung gestellt werden. WP 29 ist sich bisher nicht sicher, ob das US-Rechtssystem diesen vier Garantien auch wirklich entsprechen wird und kann.
Ein Funken Hoffnung besteht
Ein paar wenige Hoffnungsschimmer lassen sich aber erkennen. An der Ausformulierung des endgültigen Kommissionsentscheides sollen europäische Datenschützer beteiligt werden. Einmal jährlichen soll die EU-Kommission gemeinsam mit dem US-Handelsministerium evaluieren, ob die Abmachungen über die beschränkte Überwachung eingehalten werden. Außerdem sollen mehrere Beschwerdemöglichkeiten für EU-BürgerInnen geschaffen werden, beispielsweise ein Ombudsmann im US-Außenministerium. Wie die genaue Ausgestaltung der Rechtsmittel aussehen wird, ist allerdings noch völlig unklar.
Fraglich ist auch, ob der EuGH das Paket als mit den in der EU-Grundrechtecharta verankerten Ansprüchen auf Datenschutz und Rechtsmittel vereinbar betrachtet. Die Klagen, um die diffusen Sachverhalte zu klären, werden jedenfalls nicht lange auf sich warten lassen.
Ausblick und Kritik
Obwohl die Kommission die kargen Angaben zu den Vereinbarungen als Durchbruch feierte, betrachten sie viele als bedeutungslos. Vor allem, weil jegliche schriftliche Grundlage fehlt. Die mündlich getroffenen Übereinkünfte werden sich bis zur Ausarbeitung eines schriftlichen Vorschlages mit Sicherheit noch verändern. Einige hegen die Vermutung, dass das oberste Ziel nicht die Verbesserung des Datenschutzes war, sondern lediglich der Ausschluss des EuGH aus der Thematik. Experten sind nicht überzeugt, dass das Privacy Shield vor den europäischen Gerichten halten werde. Die jährliche Überprüfung der Einhaltung der vereinbarten Regelungen stellt die Gerichte vor eine große Herausforderung. Sobald sich diese eingehender mit der Beurteilung der Umsetzung beschäftigt haben, wird es eine neue Beurteilung geben. Mit diesen immer wieder neuen Beurteilungen wird lediglich das Spiel am Laufen gehalten ohne echte Verbesserungen ansetzen zu können. Alles in allem bringt die neue Vereinbarung also große rechtliche Unsicherheit mit sich und hat bisher mehr Fragen aufgeworfen als sie beantwortet hat.
Vorgeschichte und Hintergründe in den USA
Die USA gingen mit dem Glauben in die Verhandlungen, dass die EU kapitulieren wird und haben daher im Vorfeld den sogenannten Cybersecurity Act beschlossen. Aufgrund dieses Gesetzes können Internetfirmen, freiwillig oder unter Zwang, im Geheimen persönliche Daten an die US-Behörden weitergeben. Dies wiederspricht aber grundlegend dem EuGH-Urteil, das die inhaltlichen Leitlinien für die Verhandlungen vorgibt. Wie muss das bereits erwähnte Umbrella Agreement aufgrund seiner Mangelhaftigkeit im Hinblick auf den Datenschutz dringend neu verhandelt werden. Der Judical Redress Act, der EU-BürgerInnen einen gewissen rechtlichen Handlungsspielraum gibt, ist zwar grundsätzlich eine begrüßenswerte Maßnahme, jedoch kann der rechtliche Anspruch nur gewährt werden, wenn die eigene Regierung genügend Daten an die US-Behörden übermittelt.