Datenschützer-Kommentar

EU-US Privacy Shield - Datenschutz auf Sand gebaut?

Holger Ridinger ist Datenschutzbeauftragter und Sachverständiger beim Bundesfachverband der IT-Sachverständigen und -Gutachter, BISG e.V.

Dr. Ralf W. Schadowski ist nach europäischer Norm DIN EN ISO/IEC17024 zertifizierter und überwachter Datenschutzbeauftragter, TÜV cert sachkundiger Datenschutzbeauftragter und anerkannter Auditor IT-Sicherheit. Er ist auch als Fachbereichsleiter Datenschutz beim Bundesfachverband der IT-Sachverständigen und -Gutachter BISG e.V. tätig.

Anfang Februar wurde mit dem "EU-US Privacy Shield" der Nachfolger von "Safe Harbor" vorgestellt - nur einen Tag nach Ablauf der Übergangsfrist. Kritiker sagen: Das wurde übers Knie gebrochen!

Dass zu diesem Zeitpunkt noch nichts Schriftliches vorlag, sondern auf die Aushandlung der konkreten Vertragsinhalte in den kommenden Wochen verwiesen wurde, nährte das Misstrauen zusätzlich. Knapp vier Wochen später, am 29. Februar, hat die EU-Kommission den Entwurf zu "Privacy Shield" nunmehr in Schriftform veröffentlicht. Im Anhang des Entwurfs befinden sich auch mehrere Schreiben verschiedener US-Behörden. Die "Artikel-29-Datenschutzgruppe" der europäischen Datenschützer analysiert den Entwurf aktuell eingehend und gibt danach ihre Stellungnahme ab. Ohne dem vorgreifen zu wollen, lässt sich aber schon jetzt ein erstes Fazit ziehen.

Die EU-Wirtschaft feiert das Privacy Shield als Erfolg - zu Unrecht, sagen Datenschützer.
Die EU-Wirtschaft feiert das Privacy Shield als Erfolg - zu Unrecht, sagen Datenschützer.
Foto: symbiot - shutterstock.com

Die Geschichte hinter Safe Harbor

Um Privacy Shield verstehen zu können, gehen wir zunächst einen Schritt zurück und rufen uns die Geschichte des Vorgängers noch einmal in Erinnerung. Gemäß der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie ist ein Datentransfer personenbezogener Daten (PBD) in Drittstaaten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen, seit Inkrafttreten der Datenschutzrichtlinie im Jahr 1995 verboten. Da es in den USA zu diesem Zeitpunkt keine dem europäischen Standard entsprechenden umfassenden gesetzlichen Regelungen zum Datenschutz gab (woran sich bis heute nicht viel geändert hat), galt dies eben auch für die USA.

Nun fand aber bereits in den 1990er Jahren ein reger Datenaustausch zwischen der EU und den USA statt - auch von PBD; vornehmlich in eine Richtung, nämlich von der EU in die USA. Der Grund: Bereits damals saßen die maßgeblichen Big Player des Internets mit ihren angebotenen Dienstleistungen in den USA. Auch besteht traditionell ein intensiver Handel zwischen dem europäischen und dem nordamerikanischen Kontinent, der mit dem Siegeszug der IT zunehmend von einem elektronischen Datenaustausch begleitet wurde. Rein wirtschaftlich gesehen stellte der Datenschutz hier ein Hemmnis dar - sowohl aus der Sicht amerikanischer als auch europäischer Unternehmen.

Mit Geburtsfehlern behaftet und schlecht gelebt

Nun sieht Art. 25 Abs. 6 der Datenschutzrichtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland feststellen kann, sofern er bestimmte Anforderungen erfüllt. Genau dieser Weg wurde im Jahre 2000 von der Kommission mit dem "Safe Harbor"-Abkommen gewählt, um europäischen Unternehmen weiterhin einen bequemen und rechtssicheren Datenaustausch sowie eine Nutzung entsprechender Dienstleistungen US-amerikanischer Anbieter zu ermöglichen. Auf US-Seite bestanden ohnehin von vornherein nur rein wirtschaftliche Interessen. Das primäre Ziel von "Safe Harbor" war also nicht der möglichst hochwertige Schutz von PBD, sondern die Schaffung eines bequemen, wenig aufwändigen und trotzdem rechtssicheren Datenaustauschs. Deswegen wurde "Safe Harbor" auch von Beginn an von europäischen Datenschützern auf Grund seiner relativ laschen Vorgaben kritisiert.

Auch die praktische Anwendung - sei es die mangelhafte Aktualisierung der in der "Safe Harbor"-Liste geführten US-amerikanischen Unternehmen oder die nicht durchgeführten oder mangelhaften Überprüfungen - trug nicht dazu bei, das Vertrauen in diese Regelung zu steigern. Gleichwohl war dies den meisten Unternehmen beiderseits des Atlantiks weitgehend egal, was nicht verwundert, wenn man sich anschaut, welchen generellen Stellenwert der Schutz von PBD in vielen europäischen Firmen auch heute noch hat.

Safe Harbors Ende

Seit 2000 ist der Austausch von PBD geradezu explodiert. Man denke nur an Google, Facebook, Twitter oder die zahlreichen Cloud-Angebote, also oftmals Unternehmen, deren Geschäftszweck gerade der Handel oder die Auswertung von PBD ist. Seit den Anschlägen vom 11. September 2001 hat die Überwachung sämtlicher Datenflüsse in den USA nochmals einen ganz anderen Stellenwert erreicht - Stichwort Patriot Act und Homeland Security. Nicht zuletzt veranlassten diese Entwicklungen den "Düsseldorfer Kreis" im April 2010, einen Beschluss zu fassen, der die deutschen Unternehmen bei der Übermittlung von PBD in die USA mehr in die Pflicht nahm. Aber dies war nur der Versuch, etwas zu retten, was eigentlich nicht mehr zu retten war.

Der Todesstoß für "Safe Harbor" war die Veröffentlichung der Aktivitäten US-amerikanischer Geheimdienste durch Edward Snowden im Jahr 2013. Das Urteil des Europäischen Gerichtshofs im Oktober letzten Jahres bestätigte eigentlich nur noch, was seitdem nicht mehr zu kaschieren war: dass zwischen den Einstellungen zum Thema Datenschutz zwischen der Alten und der Neuen Welt mehr als nur ein Ozean liegt.