Mittwoch, 3. August 2016

Das Privacy-Shield-Abkommen – Stärkung des Grundrechts auf Privatsphäre oder ein bloßes Versprechen der US-Regierung



Das Privacy Shield Abkommen ist ein Datenschutzabkommen zwischen den Vereinigten Staaten und der Europäischen Union. Es soll im Laufe des Jahres 2016 die bisherige Safe-Harbor Regelung ersetzen. Jedoch betrachten manche Beobachter das Abkommen als Farce.

Max Schrems, ein österreichischer Datenschutzaktivist, sprach auf Twitter von einem "Bullshitbingo": Es werde mit Begriffen wie Vertrauen und Transparenz herumgeworfen, ohne dass das Abkommen Substanz hätte. "Die USA versichern, dass es keine Massenüberwachung der Daten geben wird". "Wie wird das angestellt?" (Zeit Online 2016).

Ein Österreicher beendet Safe-Harbor


Max Schrems ist seit letzten Herbst weltweit bekannt. Er legte bei der irischen Datenschutzbehörde Beschwerde ein, "weil er im Hinblick auf die Enthüllungen von Edward Snowden der Ansicht war, seine von Facebook Irland an Server in den USA übermittelten Nutzerdaten seien in den Vereinigten Staaten nicht hinreichend geschützt" (BFDI 2015).

Mit seiner Klage im Ausgangsverfahren konnte er letztlich ein Urteil des EuGH erstreiten, das dazu führte, dass das damalige Datenschutzabkommen "Safe-Harbor" für ungültig erklärt wurde. Von nun an konnten Datenübermittlungen aus der EU in die USA nicht mehr auf Safe-Harbor gestützt werden.
"Grund für das Urteil des EuGH, die zuvor geltende Safe-Harbor-Regelung abzulehnen, war dessen Unvereinbarkeit mit der europäischen Grundrechtecharta" (Netzpolitik.org 2015).
Durch das Safe-Harbor-Abkommen konnten die persönlichen Daten von EU-Bürgern vor geheimdienstlichen Überwachungsaktivitäten der USA nicht adäquat geschützen werden. Dies sollte sich mit dem Nachfolge-Abkommen "Privacy-Shield" ändern.

Am 2. Februar 2016 fanden nach zweijährigen Verhandlungen die Europäische Kommission und das US-amerikanische Handelsministerium eine politische Einigung über einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken: Ergebnis ist das "Privacy-Shield-Abkommen"‘ (European Commission 2016). Wird das Privacy-Shield seinem Namen gerecht?

Der ,,Judicial Redress Act‘‘ – eine lang erhobene Forderung der EU

 


Voraussetzung für das Datenschutzschild war der "Judicial Redress Act", der am 24. Februar 2016 von Präsident Obama unterzeichnet wurde. Mit Inkrafttreten dieses Gesetzes haben EU-Bürger Zugang zu US-Gerichten und Klagemöglichkeiten, wenn sie ihre Datenschutzrechte verletzt sehen. Sie erhalten die gleichen Rechte, die Bürgern und Einwohnern der USA seit dem Privacy Act aus dem Jahr 1974 zustehen. EU-Kommissionspräsident Juncker sprach in seinen politischen Leitlinien diesen Punkt wie folgt an:
"Die Vereinigten Staaten müssen auch garantieren, dass alle EU-Bürgerinnen und -Bürger das Recht haben, ihre Datenschutzrechte bei US-Gerichten einzuklagen, und zwar unabhängig davon, ob sie auf amerikanischen Boden wohnen. Dies ist unerlässlich, damit in den transatlantischen Beziehungen wieder Vertrauen entstehen kann" (European Commission 2016).
Das Abkommen wurde von der Europäischen Kommission als "Angemessenheitsbeschluss" gefasst. Darin wird festgestellt, dass der EU-US-Datenschutzschild "ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten an die Vereinigten Staaten" gewährleiste (European Commission 2016).

Die seit Februar 2016 veröffentliche Fassung des Privacy-Shield-Abkommens besteht aus Regelungen wie z.B. "Strenge Auflagen für Unternehmen und deren konsequente Durchsetzung". Die neue Regelung soll transparent sein und wirksame Aufsichtsmaßnahmen vorsehen, damit sichergestellt werden kann, dass Unternehmen ihren Pflichten nachkommen. So drohen zum Beispiel bei Verstößen Sanktionen oder ein Ausschluss. Dazu verspricht das Abkommen "klare Schutzvorkehrungen und Transparenzpflichten bei Zugriff durch die US-Regierung".

Zum ersten Mal hat die US-Regierung der EU schriftlich zugesichert, "dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen unterworfen wird" (European Commission 2016). Eine Massenüberwachung solle nur noch in sechs, weit gefassten, Fallgruppen erlaubt sein.

Auch eine Weitergabe von Daten "an dritte Unternehmen sei nunmehr an strengere Voraussetzungen gebunden'' (Wikipedia 2016). John Kerry, US-Außenminister, hat zugesagt, eine unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren wenden können, die den Bereich der nationalen Sicherheit betreffen.

Eine weitere Regelung soll den "Wirksamen Schutz der Rechte von EU-Bürgern durch mehrere Möglichkeiten des Rechtsbehelfs" garantieren. So müssen Unternehmen innerhalb von 45 Tagen eine Lösung für Beschwerden finden. Dazu steht EU-Bürgern ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Auch der Weg über nationale Datenschutzbehörden ist möglich, damit Beschwerden, für die noch keine Lösung gefunden wurden, nachgegangen und abgeholfen wird. Als letztes Mittel gibt es ein durchsetzbares Schiedsverfahren.

Die Vertragspartner haben sich auf eine "Gemeinsame jährliche Überprüfung" des Datenschutzschilds geeinigt. Die Überprüfung der Funktionsweise des Datenschutzschilds, einschließlich Zusicherungen und Zusagen hinsichtlich des Datenzugriffs, soll der Strafverfolgung und der nationalen Sicherheit dienen. Darüber hinaus wurde zugesichert, dass die Europäische Kommission und das US-Handelsministerium die Überprüfung gemeinsam durchführen werden. Auf Grundlage der jährlichen Überprüfung wird die Kommission einen öffentlichen Bericht an das Europäische Parlament und den Rat vorlegen (vgl. European Commission 2016).

Konkrete Funktionsweise des Datenschutzschilds

1. Zunächst werden sich amerikanische Unternehmen registrieren lassen, um in die Datenschutzschild-Liste aufgenommen zu werden.

2. Mit einer Selbstzertifizierung müssen sie bestätigen, dass sie die Anforderungen erfüllen. Dieses Verfahren muss jährlich durchgeführt werden.

3. Das US-Handelsministerium ist für die Überwachung und die aktive Prüfung zuständig.

4. Die USA ist verpflichtet, die Liste der Mitglieder des Datenschutzschilds stets auf dem neuesten Stand zu halten. Unternehmen, die nicht mehr teilnehmen, müssen gestrichen werden.

Das Handelsministerium soll überprüfen, ob Unternehmen, die nicht mehr Mitglied des Datenschutzschilds sind, auch nach ihrem Austritt die Grundsätze der Datenverarbeitung des Privacy Shields anwenden, sofern sie entsprechende Daten speichern (vgl. European Commission 2016).

Massenhafte Datenerfassung nach wie vor erlaubt

Trotz aller verbindlicher Zusagen und Kontrollmechanismen aus dem neuen Privacy-Shield Abkommen können US-Sicherheitsbehörden nach wie vor in sechs Fällen massenhaft Daten von EU-Bürgern erfassen: Zur Terrorismusbekämpfung; im Falle der Spionageabwehr; zur Verhinderung der Verbreitung von Massenvernichtungswaffen; bei einer Gefahrenabwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden; zur Bekämpfung von internationaler Kriminalität und bei einer Bedrohung der Cybersicherheit.

Solche Daten werden von den US-Sicherheitsbehörden in der Regel für einen Zeitraum von bis zu fünf Jahren gespeichert. Auch eine Ausweitung dieses Zeitraums ist möglich, wenn es dem nationalen Interesse dient (vgl. test.de 2016). Die EU-Justizkommissarin Věra Jourová erklärte:
"Das Rahmenabkommen wird für hohe Datenschutzstandards sorgen, wenn Justiz- und Polizeibehörden personenbezogene Daten austauschen, wie Strafregisterauszüge, Namen oder Adressen, um über den Atlantik hinweg Kriminalität und Terrorismus zu bekämpfen" (Vertretung Europäische Kommission in Deutschland 2016).
Sie spricht von einer "historischen Errungenschaft", um das "Vertrauen in die transatlantischen Datenflüsse wieder herzustellen und das Grundrecht auf Privatsphäre zu stärken" (Vertretung Europäische Kommission in Deutschland 2016).

Neuregelung des transatlantischen Datenaustauschs bleibt umstritten

Trotz aller gegenseitigen Zusicherungen und Kontrollmechanismen im neuen Privacy-Shield Abkommen bleibt das transatlantische Datenaustauschabkommen umstritten. Kritik am neuen EU-US-Datenschutzschild kommt nicht nur von Max Schrems, sondern auch vom Grünen Europaabgeordneten Jan Philipp Albrecht, der bemängelt, "dass die EU-Kommission nun einfach auf Basis von Erklärungen der US-Regierung die Dinge anders einschätze als im Oktober 2015. Die Einigung sei ein Witz. Die Details seien völlig unklar, eine Umsetzung werde Wochen dauern" (Zeit Online 2016).

Auch die Grünen-Bundestagsfraktion hat in einer Anfrage an die Bundesregierung Bedenken an der Neuregelung des Datentransfers geäußert und die Bundesregierung kritisiert. So werfen sie der Bundesregierung vor, ''ihre Kooperation mit der für das Urteil ursächlich gewordenen US-amerikanischen National Security Agency (NSA) weiter auszubauen, obwohl der EuGH moniert hatte, dass die weitgehenden Zugriffsmöglichkeiten von Sicherheitsbehörden nicht mit einem angemessenen Schutzniveau für Datentransfers vereinbar seien'' (Netzpolitik.org, Bundesregierung, 2016).

Obwohl es keinen ausreichenden Schutz für Datentransfers gebe, besteht die Bundesregierung auf einer Kooperation mit den US-Sicherheitsbehörden. 

Bundesregierung spricht sich für den vorgelegten Entwurf aus

In ihrer Antwort sprach sich die Bundesregierung im Grundsatz für das vom EuGH geforderte Schutzniveau aus. Der neue Entwurf enthalte sieben Schreiben der US-Administration, in denen Datenschutzgrundsätze formuliert worden sind, an die sich die US-Unternehmen halten müssen und Zusicherungen der US-Regierung zu Garantien und Beschränkungen für den behördlichen Datenzugriff.

Das Vertrauen in die Einhaltung von Datenschutzbestimmungen durch US-Geheimdienstverantwortliche würde sich auf Zusagen der US-Regierung auf höchster politischer Ebene stützen (vgl. Netzpolitik.org, Bundesregierung, 2016).

Die Bundesregierung ist der Meinung, dass die gesetzlichen Veränderungen der US-Rechtslage zur Einschränkung des Zugriffs der US-Behörden auf Daten von EU-Bürgern ausreichend seien.

Bürgerorganisationen und der Bundesverband der Verbraucherzentralen äußern Bedenken zum Entwurf

In einem offenen Brief an Isabelle Falque-Pierrotin, Chairman der Art.29-Gruppe der EU, das EU-Parlament und den Ministerrat lehnen 27 Bürgerrechtsorganisationen den Entwurf des Abkommens ab. Dieser sei demnach nicht mit den EuGH-Vorgaben vereinbar. Im Detail gefährde Privacy Shield die betroffenen Nutzer und verletze mit den Überwachungsprogrammen der NSA Menschenrechte. Mit dem neuen Datenschutzschild wären keine ''substanziellen Reformen'' erkennbar (Datenschutzticker.de, 2016).

Unterzeichnet haben dieses Schreiben ,,unter anderem die American Civil Liberties Union (ACLU), Amnesty International, der Verein Digitale Gesellschaft, die Electronic Frontier Foundation (EFF), die Initiative European Digital Rights (EDRi) und La Quadrature du Net‘‘(Datenschutzticker.de 2016).

Bedenken gegen den Datenschutzschild sieht auch der Bundesverband der Verbraucherzentralen (vzbv). Der vorgesehene Vertragstext entspreche nicht dem europäischen Datenschutzrecht. Grundregeln zur Einwilligung, Zweckbindung und Datensparsamkeit seien nicht auf beiden Seiten gleichwertig. Man benötige wirksame Mechanismen zur Überwachung von Regeln und um Verstöße zu ermitteln und zu ahnden. Es dürfe keine pauschale Begünstigung von Unternehmen geben, sondern es müsse nachgewiesen werden, dass sie die Prinzipien einhalten.

Für Verbraucher fehle es an Bestimmungen, um ihr Recht, Auskunft über gespeicherte Daten zu erhalten und diese gegebenenfalls löschen zu lassen, entsprechend durchsetzen zu können (vgl. heise online 2016). 

Ehemaliger Bundesdatenschutzbeauftragter sieht im EU-US-Privacy Shield keinen rechtssicheren Nachfolger

Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte, zweifelt in seiner Analyse daran, dass der Privacy Shield rechtssicher sei. Damit die neue Regelung den Anforderungen des EuGH-Urteils standhält, müssten die US-Sicherheitsbehörden ihre Überwachungsaktivitäten deutlich reduzieren. Er kritisiert, dass es auch weiterhin für EU-Bürger nicht möglich sein wird, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung durch Gerichte überprüfen zu lassen.

''Der Judicial Redress Act garantiere den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtige den US-Generalstaatsanwalt – der zugleich Justizminister ist – lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums die beschriebenen Rechte einzuräumen. Der Justizminister könne die Entscheidungen jederzeit widerrufen'' (heise online, Analyse von Peter Schaar, 2016).

Zudem sollen in einer vom Rechtsausschuss des US-Senats verabschiedeten Änderung nur solche Staaten die im Judicial Redress Act formulierten Änderungen erhalten, welche kommerzielle Datentransfers in die USA erlauben und nicht deren nationalen Sicherheitsinteressen behindern.
Somit bleibt es letztlich in der Hand der US-Regierung, welche Bürger fremder Staaten Anspruch auf eine gerichtliche Überprüfung ihrer Daten haben. 

Artikel-29-Datenschutzgruppe fordert Korrekturen

Die Artikel-29-Datenschutzgruppe stellt ''Nachbesserungsbedarf'' beim EU-US Privacy Shield fest und fordert Korrekturen des Abkommens. In ihrer Stellungnahme vom 13.04.2016 erklärt die Artikel-29-Gruppe, dass der Privacy Shield noch kein Datenschutzniveau bereitstelle, das mit EU-Recht übereinstimme.

Die Datenschutzgruppe, die sich aus Vertretern der nationalen Datenschutzbehörden, der Europäischen Kommission und dem Europäischen Datenschutzbeauftragten zusammensetzt, ist der Meinung, dass der Privacy Shield in seiner jetzigen Form nicht den Vorgaben des EuGH nach einem Datenschutz, der dem in Europa der Sache nach ''gleichwertig'' sei, entspricht.

Die Datenschützer haben sich die folgenden Hauptaufgaben gesetzt: die ''fachliche Beratung der Europäischen Kommission in Datenschutzfragen'' von nationaler Ebene aus, ''die Förderung der einheitlichen Anwendung der Richtlinie 95/46/EG in allen Mitgliedstaaten der EU sowie in Norwegen, Liechtenstein und Island, die Beratung der Kommission zu allen EG-Rechtsvorschriften, die sich auf das Recht auf den Schutz personenbezogener Daten auswirken'' (European Data Protection Supervisor 2016).

Im Detail hat die Gruppe Zweifel daran, ob die unabhängige Ombudsstelle als unparteiische Schiedsperson mit hinreichenden Befugnissen ausgestattet ist und eine unabhängige Betrachtung im erforderlichen Maße gegeben sei. Weiterhin bestehen Bedenken am Privacy-Shield, da es keine Begrenzungen der Datenspeicherungsdauer für im Privacy-Shield lizenzierte Unternehmen gibt (vgl. BFDI 2016). 

Einige Unternehmen nutzen immer noch Safe-Harbor

Trotz transparenter Information nutzen einige Unternehmen immer noch Safe-Harbor. ''Ein bewusstes Fehlverhalten von derart großen international aufgestellten Unternehmen könne insoweit nicht folgenlos bleiben, bemerkte der Hamburger Datenschutzbeauftragte Johannes Caspar'' (Netzpolitik.org, Johannes Caspar, 2016) und hat angekündigt, ein Bußgeldverfahren gegen drei ungenannte Unternehmen einzuleiten. 

Durch Privacy Shield ist die Sicherheit meiner persönlichen Daten gefährdet

Mit dem transatlantischen Datenschutzabkommen EU-US-Privacy Shield soll ein neuer Rahmen geschaffen werden, um den Schutz der Grundrechte der europäischen Bürgerinnen und Bürger bei der Übermittlung von Daten in die USA zu gewährleisten. Zudem soll es Rechtssicherheit für die Unternehmen schaffen.

Hierin sind die Vereinigten Staaten aktiv geworden und haben mit der Verabschiedung des ''Judicial Redress Act'' Veränderungen in der Frage des gerichtlichen Rechtsschutzes herbeigeführt. EU-Bürgerinnen und Bürger haben damit die gleichen Rechte wie US-Bürgerinnen und Bürger und Zugang zu US-Gerichten und Klagemöglichkeiten bei Datenschutzverletzungen.

Die USA verpflichten sich durch schriftliche Zusicherungen und Zusagen zur Durchsetzung der Regelung und wollen die Vereinbarungen in einem jährlichen ''Joint Review'' überprüfen.

Die Rahmenbedingungen für das Abkommen stellte die EU-Kommission Ende Februar selbst. Man sollte meinen, dass damit nun ein angemessener Grundrechtsschutz, speziell das Schutzniveau personenbezogener Daten von EU-Bürgern, gegeben sein sollte und die Zeiten der ungerechtfertigten Massenüberwachung durch US-Behörden der Vergangenheit angehören. Doch an dieser These habe ich meine Zweifel.

Die versprochenen Klagemöglichkeiten für EU-Bürgerinnen und Bürger sind auf Auskunft und Korrektur der persönlichen Daten beschränkt. Das gesamte Verfahren den Datenverarbeitung bleibt weiterhin intransparent. EU-Bürgerinnen und Bürger sind abhängig von der US-Regierung, inwieweit die Ombudsstelle ihre Beschwerden aufnimmt.. Fraglich ist auch, ob die Zusicherungen und Garantien der US-Regierung staatliche Stellen darin hindern werden, auf persönliche Daten zuzugreifen. Abgesehen davon, dass den US-Sicherheitsbehörden in sechs Fällen die massenhafte Datenerfassung weiterhin gewährt wird. Auch über den Anspruch auf eine gerichtliche Überprüfung seiner Daten entscheidet am Ende die US-Regierung und sitzt damit am längeren Hebel.

Die Europäische Union kann meines Erachtens einen Beschluss zur Ratifizierung des Abkommens in dieser Form nicht fassen. Vielmehr ist eine gründliche Überprüfung und Korrektur des Entwurfs mit Veränderungen für den Grundrechtsschutz der EU-Bürgerinnen und Bürger nötig. Es darf bspw. keine Ausnahmeregelung für US-Sicherheitsbehörden zur massenhaften Datenüberwachung von EU-Bürgern geben. Die Klagemöglichkeiten für EU-BürgerInnen dürfen sich nicht auf Auskunft und Korrektur ihrer Daten beschränken. 

Quellen

Keine Kommentare:

Kommentar veröffentlichen