Daten­schutz Meldung

Die Europäische Union und die USA haben sich auf ein neues Abkommen geeinigt. Es soll Daten, die aus der EU in die USA über­mittelt werden, besser schützen. Die Vereinbarung tritt an die Stelle des im Oktober 2015 vom Europäischen Gerichts­hof gekippten „Safe-Harbor“-Abkommens“. test.de sagt, was das geplante Daten­schutz­abkommen regelt, wie Daten­schützer das Vorhaben bewerten und wie Verbraucher mithilfe eines Muster­briefes Auskunft über die Daten­haltung bekommen können.*

Schutz­schild für die Privatsphäre

Das neue Daten­schutz­abkommen zwischen der Europäischen Union und den USA soll „EU-U.S. Privacy Shield“ heißen. Dieses wird aus einem Beschluss der EU-Kommis­sion, den recht­lichen Regularien („EU-U.S. Privacy Shield Framework Principles“) und mehreren in Briefform überge­benen Erklärungen von Vertretern amerikanischer Behörden als Anhänge bestehen. Es beruht auf dem Prinzip der Selbst­verpflichtung.

Was steht drin?

US-amerikanische Firmen, die personenbezogene Daten von europäischen Kunden und Nutzern in die USA über­mitteln und verarbeiten wollen, unterwerfen sich strengen Auflagen hinsicht­lich Daten­ver­arbeitung und Schutz der Rechte Einzelner. Unternehmen, die sich zertifizieren lassen, müssen versprechen, sich an die recht­lichen Vorgaben des „Privacy Shields“ zu halten. Nur dann dürfen sie Daten in die USA über­tragen. Außerdem soll es laut Kommis­sion keine massenhafte und anlass­lose Massen­über­wachung durch amerikanische Sicher­heits­behörden mehr geben.

Vereinbarung noch nicht „in Sack und Tüten“

Noch ist aber nichts entschieden. Bevor die EU-Kommis­sion ihren „Privacy-Shield“-Beschluss treffen kann, sind noch einige Schritte erforderlich: Die Daten­schutz­behörden der EU-Mitglieds­staaten (die Artikel-29-Gruppe) haben bereits zum „Privacy Shield“- Abkommen Stellung bezogen und Bedenken angemeldet. Sie fordern Korrekturen. Im Vergleich zum gekippten „Safe-Harbor“-Abkommen sei die Vereinbarung allerdings ein „großer Schritt nach vorn“, erklärte Isabelle Falque-Pierrotin, Leiterin der französischen Daten­schutz­behörde und Vorsitzende der Artikel-29-Gruppe. Die Bundes­daten­schutz­beauftragte, Andrea Voßhoff, stimmte ihrer Kollegin zu: „Sicherlich ist es erkenn­bar, dass das Privacy Shield Verbesserungen im Vergleich zur Vorgänger­über­einkunft Safe Harbor enthält. Gleich­wohl ist die Kommis­sion angesichts der in der Stellung­nahme der Artikel-29-Gruppe aufgezeigten Bedenken und offenen Fragen in der Pflicht, in Verhand­lungen mit den US-amerikanischen Part­nern die erforderlichen Anpassungen in der Adäquanz­entscheidung vorzunehmen, um ein erneutes Scheitern vor den europäischen Gerichten zu vermeiden.“
Auch die Mitglied­staaten selbst dürfen sich mit dem Abkommen befassen und diesem zustimmen oder es in der vorgelegten Form ablehnen. Dann muss in der Regel nachgebessert werden. Darüber hinaus soll der Europäische Daten­schutz­beauftragte Gelegenheit zu einer Stellung­nahme erhalten. Das Europäische Parlament und der Rat werden in die abschließenden Beratungen zum Beschluss der Kommis­sion einbezogen. Endgültig angenommen werden soll das Abkommen laut Kommis­sion im Juni 2016.

Massenhafte Daten­erfassung in sechs Fällen erlaubt

Ganz sicher sind europäische Daten jedoch nicht vor amerikanischen Behörden. Eine „massenhafte“ Daten­erfassung wird den US-Sicher­heits­behörden nämlich in sechs Fällen gestattet:

  • Terrorismusbekämpfung
  • Spiona­geabwehr
  • Verhinderung der Verbreitung von Massen­vernichtungs­waffen
  • Gefahren­abwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden
  • Bekämpfung interna­tionaler Kriminalität
  • Bedrohung der Cybersicherheit.

Die Daten, die die amerikanischen Sicher­heits­behörden erheben, dürfen lange aufbewahrt werden – in der Regel fünf Jahre. Erscheint es im nationalen Interesse, die Daten länger aufzuheben, kann die Frist auch über­schritten werden.

Ombuds­person vermittelt im Streitfall

Im Außen­ministerium der USA soll es eine Ombuds­person geben, an die sich Betroffene über ihre nationalen Daten­schutz­behörden wenden können, wenn sie ihre Daten und Rechte durch Nach­richten­dienste in den USA verletzt sehen oder wenn sie Nach­fragen zur Hand­habe ihrer Daten durch amerikanische Sicher­heits­behörden haben. Die Ombuds­person soll unter anderem von den Geheim­diensten auch geheime Informationen über einzelne Fälle anfordern können, damit sie deren Vorgehen über­prüfen kann. Gibt es Verstöße, kann sie diese an die dafür zuständigen Regierungs­stellen melden.

Effektiver Rechts­schutz für EU-Bürger geplant

Europäischen Verbrauchern, die ihre persönlichen Daten durch die Über­tragung in die USA auf Grund­lage des Abkommens gefährdet sehen, sollen verschiedene Wege zur Verfügung stehen, sich dagegen zu wehren.

  • Frist. Wenden sie sich mit daten­schutz­recht­lichen Beschwerden direkt an das Unternehmen, muss es diese binnen 45 Tagen beant­worten.
  • Schlichtungs­verfahren. Den Betroffenen soll ein kostenloses Schlichtungs­verfahren offen­stehen. Amerikanische Unternehmen müssen dafür eine unabhängige Schlichtungs­stelle in der EU oder den USA benennen, die sich mit solchen Beschwerden befasst.
  • Aufsichts­behörde. Die amerikanische Federal Trade Commission („Bundes­handels­kommis­sion“) wird Firmen über­wachen, die Daten aus Europa verarbeiten. Diese Aufsichts­behörde kontrolliert die Einhaltung des „Privacy Shields“ durch die zertifizierten Unternehmen und kann das – notfalls auch gericht­lich – durch­setzen. EU-Bürger können sich mit Beschwerden an ihre nationale Daten­schutz­behörde richten, die diese an das Handels­ministerium oder die Bundes­handels­kommis­sion weiterleiten kann. Sie haben dann ein Anrecht auf eine Rück­meldung inner­halb von 90 Tagen.
  • Schieds­verfahren. Kann der Fall auf keinem dieser Wege gelöst werden, ist das letzte Mittel ein Schieds­verfahren. Hierzu wird das sogenannte „Privacy Shield Panel“ aus mindestens 20 Schieds­richtern errichtet, die vom US-Handels­ministerium und der Kommis­sion ernannt werden.
  • Klage­möglich­keit. Mit dem von Präsident Barack Obama Ende Februar 2016 unter­schriebenen Gesetz „Judicial Redress Act“ sollen EU-Bürger die Möglich­keit haben, bei Daten­schutz­verletzungen gegen US-Behörden zu klagen. Das Gesetz ist aber umstritten. So ist unter anderem die Klage für EU-Bürger dann nicht möglich, wenn es um Interessen der „inneren Sicherheit“ der USA geht.

Jedes Jahr ein Daten­schutz­gipfel

Die Umsetzung dieser Vereinbarungen werden von der EU und den USA jedes Jahr gemein­sam über­prüft – unter Einbeziehung der EU-Daten­schutz­behörden und Geheimdienst­ex­perten. Die EU-Kommis­sion beabsichtigt, jähr­lich einen „Daten­schutz­gipfel“ mit Interes­senvertretern einschließ­lich der Zivilgesell­schaft abzu­halten und einen Jahres­bericht zu veröffent­lichen. Dabei soll geprüft werden, ob das Schutz­niveau der Daten in den USA immer noch angemessen ist.

„Safe Harbor“ – die Vorgeschichte

Diesen neuen Plänen war eine lange Daten­schutz­geschichte voran­gegangen. Spätestens seit der NSA-Spiona­geaffäre im Jahr 2013 stand die Frage im Raum: Sind europäische Daten in den USA noch sicher? Der Europäische Gerichts­hof sagte „nein“ und kippte Anfang Oktober 2015 das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der EU (mehr im Unter­artikel Vorgeschichte - das "Safe-Harbor"-Abkommen). Ob der EuGH das neue „Privacy-Shield“-Abkommen für geeignet hält, ist völlig offen. Klagen zur Klärung werden wohl nicht lange auf sich warten lassen.

Daten­schützer sind nicht zufrieden

„Ein Schwein mit zehn Lagen Lippen­stift“. Netz­aktivisten wie Max Schrems (Ein Europäer gegen Facebook) sind skeptisch, dass sich Daten­schutz­behörden und der Europäische Gerichts­hof zufrieden­geben werden, nur weil man das „Schwein mit zehn Lagen Lippen­stift angemalt“ habe. In einer ersten Reaktion erklärt er: „Man versucht hier mit einigen Behübschungen, das illegale „Safe-Harbor“-System wieder­zubeleben, die grund­sätzlichen Probleme der US-Massen­über­wachung und der Nonexistenz von US-Daten­schutz sind aber nicht gelöst.“ Schrems schließt mit dem Fazit: „Auf den ersten Blick scheint diese Kommis­sions­entscheidung direkt zurück zum EuGH zu gehen. Es ist wirk­lich schade, dass die Kommis­sion diese Situation nicht genutzt hat, um endlich eine stabile Lösung für Unternehmen und Nutzer zu verhandeln. Die meisten Unternehmen werden sich wohl nicht auf „Privacy Shield“ als recht­liche Grund­lage verlassen, wenn man sich diese Situation ansieht. Ich denke eine Reihe von Leuten wird diese Entscheidung beim EuGH bekämpfen – ich könnte einer davon sein.“

„EU hat sich Mogel­packung andrehen lassen“. Alexander Sander, Geschäfts­führer des Vereins Digitale Gesell­schaft, erklärte Ende Januar nach Ankündigung des neuen Abkommens: „Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind alles andere als gelöst. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, hat sich die EU-Kommis­sion eine Mogel­packung andrehen lassen. Wie schon bei Safe Harbor ist auch beim jetzigen EU-U.S.-Privatsphäre-Schild der Bereich der nationalen Sicherheit von den Rege­lungen ausgenommen. Wenn die Kommis­sion behauptet, es werde künftig keine Massen­über­wachung von Daten aus der EU in den USA geben, ist das nicht mehr als ein schlechter Witz.“

„Keine Rechts­sicherheit“. Peter Schaar, der ehemalige Bundes­beauftragte für Daten­schutz und Informations­freiheit und heutiger Vorsitzender der Europäischen Akademie für Informations­freiheit und Daten­schutz EAID, bezweifelte nach dem Ende der Verhand­lungen, dass das neue Abkommen tatsäch­lich Rechts­sicherheit bietet. „Zudem sind die vorgesehenen Klage­möglich­keiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogenen Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – auch weiterhin keine Möglich­keiten haben, die Recht­mäßig­keit des gesamten Verfahrens der Daten­ver­arbeitung gericht­lich über­prüfen zu lassen.“ Die Kommis­sion gehe ein großes Risiko ein, dass auch der neue Rahmen für die Daten­über­mitt­lung in die USA die Prüfung durch den Europäischen Gerichts­hof nicht über­steht.

Ein Muster­brief für Kunden

Auf der Internetseite der Verbraucherzentrale Nord­rhein-West­falen finden verunsicherte Verbraucher einen Musterbrief, mit dem sie sich an Unternehmen wenden und fragen können, ob eine bestimmte Firma Daten von ihnen gespeichert hat – und wenn ja, welche das sind und wo sie gespeichert werden.

* Dieser Artikel ist am 6. Oktober 2015 auf test.de erschienen und seitdem mehr­fach aktualisiert worden, zuletzt am 14. April 2016. Am 14. April 2016 haben wir auch die Ausführungen im Abschnitt „Effektiver Rechts­schutz für EU-Bürger geplant“ präzisiert und damit eine vorherige Fassung dieses Abschnitts korrigiert.

Dieser Artikel ist hilfreich. 281 Nutzer finden das hilfreich.