Privacy Shield: Datenschutzschild bleibt löchrig

Die EU-US Privacy Shield Vereinbarung liegt seit Ende Februar konkret ausgearbeitet und im Wortlaut vor. Grund genug für Dr. Carlo Piltz sich in seinem Blog zum neuen Datenschutzschild näher damit zu befassen. Sein Hauptaugenmerk liegt darauf, ob nun die Anforderungen des Europäischen Gerichtshofs (EuGH) für einen Transfer von europäischen Daten nach USA tatsächlich erfüllt sind. Sein Fazit: Es gibt viele Verbesserungen gegenüber Safe Harbor, aber die Herausforderung liegt darin, die formulierten Prinzipien in der Praxis durchzusetzen.

Der Privacy Shield rief schon in seiner Rohform heftige Kritik bei Datenschützern und Bürgerrechtlern hervor. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. fasste die Kritikpunkte  in einer Erklärung zusammen: Datenschützer verlangen von einer gültigen Vereinbarung, dass sie

  • transparent
  • nachprüfbar
  • und die Betroffenenrechte gegenüber den US-Gerichten durchsetzbar

sein müssen. Die Europäische Kommission meint, diese Rechtsicherheit mit der Vereinbarung erreicht zu haben:

  1. EU-Bürger können künftig bei Datenmissbrauch Schadensersatzansprüche anmelden. Damit sei der Hauptgrund, warum der Europäische Gerichtshof (EuGh) das Safe Harbor Abkommen ablehnte, beseitigt.
  2. Unternehmen müssen Fristen zur Beantwortung von Beschwerden einhalten
  3. EU-Datenschutzbeauftragte können Beschwerde beim US-Handelsministerium einreichen.
  4. Für Vorwürfe über die Ausspähung durch Geheimdienste soll eine US-Ombudsstelle eingerichtet werden.

Zweifel an Rechtsicherheit

Der Hauptkritikpunkt der Datenschützer ist, dass auf Seiten der USA die Zugeständnisse lediglich in einer schriftlichen Erklärung vorliegen, die jedoch noch keine Rechtssicherheit darstellen würde.

Der ehemalige Bundesdatenschutzbeauftragte, Peter Schaar, wies bereits deutlich darauf hin: Eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und einen umfassenden Zugriff auf personenbezogene Daten von Nicht-US-Bürgern darf es laut EuGH nicht geben.

Schaar zweifelt, ob die inzwischen beschlossenen Gesetzesänderungen in den USA (US Freedom-Act) diese Anforderung erfüllen. In diesem nationalen Gesetz wird der Zugriff der US-Behörden auf Daten geregelt und ist selbst in den USA Vorbehalte heftig umstritten. Besonders Bürgerrechtsorganisationen und Datenschützer weisen darauf hin, dass es die Überwachung von Bürgern – egal ob US- oder EU-Bürger – durch Geheimdienste unterstützt. 

Auch Dr. Piltz hat so seine Zweifel, inwieweit die US-Behörden, insbesondere die Geheimdienste, von der Vereinbarung betroffen sind. Er meint, es werde dazu wohl bis zu einer neuerlichen Entscheidung des EUGh verschiedene Meinungen geben.

Was bedeutet das nun für deutsche Unternehmen?

Will ein deutsches Unternehmen US-amerikanische Dienste in Anspruch nehmen und personenbezogene Daten von EU-Bürgern weiterleiten, ist es mit dem Datenschutzschild noch nicht auf der sicheren Seite. Es gibt zwar wesentliche Verbesserungen gegenüber dem Safe Harbor Abkommen, doch eindeutig ist die Vereinbarung nicht: Weitere rechtliche Auseinandersetzungen sind abzusehen.

Wer also heute eine Cloud-Anwendung sucht, sollte sich genau überlegen, ob er den Datentransfer in die USA akzeptiert.

Falls Sie rechtskonforme Dienste suchen, bei denen Sie auf eine dem deutschen Datenschutz entsprechende Datenverarbeitung vertrauen können, lesen Sie hier nach, worauf Sie achten müssen.