Im vergangenen Oktober hat der Europäische Gerichtshof (EuGH) das so genannte “Safe Harbor Abkommen” gekippt. Eine Vereinbarung, die regelt, was mit Daten europäischer Nutzer passiert, wenn sie nach USA übertragen und dort verarbeitet werden.

Eigentlich sollten die Daten dort genauso gut geschützt sein wie hier bei uns in Europa. Waren sie aber nicht, hat der Europäische Gerichtshof gesagt. Und deshalb musste eine neue Vereinbarung her. Die heißt “Privacy Shield”. Wieder so ein wohl klingender Name. Doch was taugt die neue Version?

Haben die Verantwortlichen, also die Politiker, ihre Hausaufgaben gemacht und ein neues, besseres Datenschutzabkommen hinbekommen?

Nicht wirklich. Kritiker sagen, außer dem Namen ändert sich nicht viel. Deshalb wird hier auch vom Raider-Twix-Vorwurf gesprochen: Derselbe Schokoriegel, anderer Name. Und genauso scheint es sich auch beim Privacy Shield zu verhalten: Mehr oder weniger steht dasselbe drin wie vorher. Es hat sich nicht wirklich viel verändert, der Datenschutz ist nicht entscheidend vorangekommen, sagt zum Beispiel der EU-Politiker Philipp Albrecht, Datenschutzexperte der Grünen im EU-Parlament.

 

Schauen wir doch mal hin, wieso das Safe Harbor Abkommen im Oktober 2015 gekippt wurde. Was waren die entscheidenden Gründe?

Ein entscheidender Grund ist der maßlose und unkontrollierte Zugriff amerikanischer Behörden auf Datenbestände und Internet-Traffic. Vor allem die NSA greift Daten in nicht vorstellbarem Ausmaß ab, der Inhalt elektronischer Kommunikation ist nicht im geringsten geschützt, jedenfalls nicht durch den Gesetzgeber.

Man muss es so deutlich sagen: Daten europäischer Nutzer genießen keinerlei Schutz in den USA. Die Richter am EuGH haben klipp und klar gesagt: In der aktuellen Situation ist das Safe Harbor Abkommen eine Farce. Es kann keine Rede davon sein, dass die Daten europäischer Bürger in den USA genauso sicher aufgehoben sind wie bei uns ein Europa. Genau das verlangt das Safe Harbor Abkommen aber: Nur wenn das gewährleistet ist, dürfen die Daten von US-Bürgern auf Servern in den USA gespeichert werden.

eugh

Aber was hat sich denn konkret bewegt und verändert?

Befürworter des Privacy Shield sagen (hier der Privacy Shield im Wortlaut), dass es im Vergleich zu Safe Harbor in drei Bereichen Verbesserungen gibt. Erstens: US-Unternehmen haben die Pflicht, Daten von EU-Bürgern nur so lange zu speichern, “wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind”. Selbst Kritiker wie Albrecht halten das für einen Fortschritt. Allerdings auch schon für den einzigen – allerdings schwer bis gar nicht zu kontrollieren.

Zweitens: Die US-Regierung hat zugesichert, Daten von EU-Bürgern nicht ohne Anlass zu sammeln. Genau das passiert aber ja. Und wird auch in Zukunft passieren, denn es gibt eine Ausnahme: Nationale Sicherheit – und wenn es nicht anders geht. Salopp formuliert. Und drittens: Wer meint, seine Daten würden unrechtmäßig gesammelt oder ausgewertet, kann sich künftig beschweren. Im US-Außenministerium. Frage: Welcher normale EU-Bürger traut sich das?

 

Wozu braucht man dieses Abkommen eigentlich?

Wenn Unternehmen im großen Stil Daten von EU-Bürgern erfassen und in die USA übertragen, haben sie sich bislang auf der Safe Harbor Abkommen berufen, die mussten die Betroffenen dann nicht großartig informieren – weil die Daten ja eigentlich in den USA genauso sicher sein sollten wie bei uns. Ohne dieses Abkommen ist die rechtliche Situation deutlich schwieriger, darum warten viele Unternehmen händeringend auf den Nachfolger, auf den Privacy Shield.

 

Wann tritt der Privacy Shiel in Kraft – und hat er seinen Namen verdient?

Der Privacy Shield wird am 12. Juli in Kraft treten. Den Namen hat er natürlich nicht verdient, es hat sich nicht wirklich substanziell etwas verändert. Nur Geringfügigkeiten. Die Probleme, die zum Kippen des Safe Harbor Abkommen geführt haben, sind weitgehend geblieben. Wahrscheinlich wird auch gegen den Privacy Shield geklagt – und dann werden wir sehen, was die Richter sagen.