Dass zu diesem Zeitpunkt noch nichts Schriftliches vorlag, sondern auf die Aushandlung der konkreten Vertragsinhalte in den kommenden Wochen verwiesen wurde, nährte das Misstrauen zusätzlich. Knapp vier Wochen später, am 29. Februar, hat die EU-Kommission den Entwurf zu "Privacy Shield" nunmehr in Schriftform veröffentlicht. Im Anhang des Entwurfs befinden sich auch mehrere Schreiben verschiedener US-Behörden. Die "Artikel-29-Datenschutzgruppe" der europäischen Datenschützer analysiert den Entwurf aktuell eingehend und gibt danach ihre Stellungnahme ab. Ohne dem vorgreifen zu wollen, lässt sich aber schon jetzt ein erstes Fazit ziehen.
Die Geschichte hinter Safe Harbor
Um Privacy Shield verstehen zu können, gehen wir zunächst einen Schritt zurück und rufen uns die Geschichte des Vorgängers noch einmal in Erinnerung. Gemäß der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie ist ein Datentransfer personenbezogener Daten (PBD) in Drittstaaten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen, seit Inkrafttreten der Datenschutzrichtlinie im Jahr 1995 verboten. Da es in den USA zu diesem Zeitpunkt keine dem europäischen Standard entsprechenden umfassenden gesetzlichen Regelungen zum Datenschutz gab (woran sich bis heute nicht viel geändert hat), galt dies eben auch für die USA.
Nun fand aber bereits in den 1990er Jahren ein reger Datenaustausch zwischen der EU und den USA statt - auch von PBD; vornehmlich in eine Richtung, nämlich von der EU in die USA. Der Grund: Bereits damals saßen die maßgeblichen Big Player des Internets mit ihren angebotenen Dienstleistungen in den USA. Auch besteht traditionell ein intensiver Handel zwischen dem europäischen und dem nordamerikanischen Kontinent, der mit dem Siegeszug der IT zunehmend von einem elektronischen Datenaustausch begleitet wurde. Rein wirtschaftlich gesehen stellte der Datenschutz hier ein Hemmnis dar - sowohl aus der Sicht amerikanischer als auch europäischer Unternehmen.
Mit Geburtsfehlern behaftet und schlecht gelebt
Nun sieht Art. 25 Abs. 6 der Datenschutzrichtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland feststellen kann, sofern er bestimmte Anforderungen erfüllt. Genau dieser Weg wurde im Jahre 2000 von der Kommission mit dem "Safe Harbor"-Abkommen gewählt, um europäischen Unternehmen weiterhin einen bequemen und rechtssicheren Datenaustausch sowie eine Nutzung entsprechender Dienstleistungen US-amerikanischer Anbieter zu ermöglichen. Auf US-Seite bestanden ohnehin von vornherein nur rein wirtschaftliche Interessen. Das primäre Ziel von "Safe Harbor" war also nicht der möglichst hochwertige Schutz von PBD, sondern die Schaffung eines bequemen, wenig aufwändigen und trotzdem rechtssicheren Datenaustauschs. Deswegen wurde "Safe Harbor" auch von Beginn an von europäischen Datenschützern auf Grund seiner relativ laschen Vorgaben kritisiert.
Zum Video: EU-US Privacy Shield - Datenschutz auf Sand gebaut?
Auch die praktische Anwendung - sei es die mangelhafte Aktualisierung der in der "Safe Harbor"-Liste geführten US-amerikanischen Unternehmen oder die nicht durchgeführten oder mangelhaften Überprüfungen - trug nicht dazu bei, das Vertrauen in diese Regelung zu steigern. Gleichwohl war dies den meisten Unternehmen beiderseits des Atlantiks weitgehend egal, was nicht verwundert, wenn man sich anschaut, welchen generellen Stellenwert der Schutz von PBD in vielen europäischen Firmen auch heute noch hat.
Safe Harbors Ende
Seit 2000 ist der Austausch von PBD geradezu explodiert. Man denke nur an Google, Facebook, Twitter oder die zahlreichen Cloud-Angebote, also oftmals Unternehmen, deren Geschäftszweck gerade der Handel oder die Auswertung von PBD ist. Seit den Anschlägen vom 11. September 2001 hat die Überwachung sämtlicher Datenflüsse in den USA nochmals einen ganz anderen Stellenwert erreicht - Stichwort Patriot Act und Homeland Security. Nicht zuletzt veranlassten diese Entwicklungen den "Düsseldorfer Kreis" im April 2010, einen Beschluss zu fassen, der die deutschen Unternehmen bei der Übermittlung von PBD in die USA mehr in die Pflicht nahm. Aber dies war nur der Versuch, etwas zu retten, was eigentlich nicht mehr zu retten war.
Der Todesstoß für "Safe Harbor" war die Veröffentlichung der Aktivitäten US-amerikanischer Geheimdienste durch Edward Snowden im Jahr 2013. Das Urteil des Europäischen Gerichtshofs im Oktober letzten Jahres bestätigte eigentlich nur noch, was seitdem nicht mehr zu kaschieren war: dass zwischen den Einstellungen zum Thema Datenschutz zwischen der Alten und der Neuen Welt mehr als nur ein Ozean liegt.
Privacy Shield - alter Wein in neuen Schläuche
Dies ist auch das grundsätzliche Problem des Nachfolgeabkommens "Privacy Shield". Die Mentalitätsunterschiede lassen sich nicht mit einem solchen Abkommen aus der Welt schaffen. Die nationale Sicherheit steht in den USA über allem anderen. "America first" ist nicht nur ein leerer Slogan, sondern wird gelebt. Wenn es um die Sicherheit und die Interessen der USA geht, sind Sicherheit und Interessen von Einzelpersonen oder anderen Staaten meist irrelevant. Wer es seit Jahrzehnten gewohnt ist, in praktisch allen Dingen am längeren Hebel zu sitzen und kaum einmal Kompromisse eingehen zu müssen, der tut sich schwer damit, sich zurückzunehmen und die Interessen von Dritten zu wahren - vor allem dann, wenn er dieses Denken nicht nachvollziehen kann oder für falsch hält.
Machen wir uns nichts vor: "Privacy Shield" dient - wie zuvor schon "Safe Harbor" - in erster Linie dem Zweck, den Unternehmen beiderseits des Atlantiks einen bequemen und rechtssicheren Weg des Datenaustauschs zu ermöglichen. Dies zeigt eben auch die Tatsache, dass die EU-Kommission kurz nach Ablauf der Übergangsfrist mit einer mündlichen Verlautbarung an die Öffentlichkeit ging, gemäß dem Motto: "Macht euch keine Sorgen, wir handeln schon irgendetwas aus, damit ihr auch in Zukunft wie gewohnt euren Geschäften nachgehen könnt." Hauptsache, die Wirtschaft läuft, das tatsächliche Niveau des Datenschutzes hat sich dem unterzuordnen. Welchen Stellenwert die EU-Kommission dem Datenschutz beimisst, zeigt auch die Tatsache, dass die europäischen Datenschützer in die Verhandlungen nicht mit einbezogen und erst in letzter Minute überhaupt konsultiert wurden.
In der Klemme
Was sind nun aber die wesentlichen Inhalte des Entwurfs zu "Privacy Shield", und wo liegen die Fortschritte zu "Safe Harbor"? Nun, ein ganz wesentlicher Punkt ist, dass es angeblich keine anhaltlose oder massenhafte Überwachung mehr durch die US-amerikanischen Sicherheitsbehörden geben soll. Diese Aussage der EU-Kommission fußt in erster Linie auf einem Schreiben aus dem Büro des Direktors der nationalen Nachrichtendienste, James R. Clapper. Wir erinnern uns: James R. Clapper hatte 2013 vor dem Kongressausschuss für Nachrichtendienste im Rahmen der damaligen durch die Enthüllungen von Edward Snowden ausgelösten Überwachungs- und Spionageaffäre versichert, dass die NSA nicht rechtswidrig Telefondaten von US-Bürgern sammle. Einen Monat später musste er jedoch das genaue Gegenteil zugeben, konnte sich aber trotz zahlreicher Rücktrittsforderungen im Amt halten.
Aber man muss noch nicht einmal die Glaubwürdigkeit der in diesem oder den anderen Schreiben enthaltenen Zusagen in Zweifel ziehen. Ganz explizit wird von US-Seite aufgeführt, dass für sechs Zwecke auch weiterhin sehr wohl die massenhafte Erfassung von PBD erlaubt ist: um bestimmte Aktivitäten fremder Mächte aufzudecken und ihnen entgegenzutreten, zur Bekämpfung des Terrorismus, um der Weiterverbreitung von Massenvernichtungswaffen entgegenzuwirken, zum Zwecke der Cyber-Sicherheit, um Bedrohungen US-amerikanischer und verbündeter Streitkräfte aufzudecken und ihnen zu begegnen sowie zur Bekämpfung internationaler Kriminalität einschließlich der Umgehung von Sanktionen.
Eine Neuerung ist der im Außenministerium angesiedelte Ombudsmann, bei dem es sich in der ersten Besetzung übrigens um eine Frau, nämlich Catherine A. Novelli, handeln dürfte. An diesen Ombudsmann können sich Europäer mit ihren Beschwerden wenden. Zwar ist der Ombudsmann unabhängig von den US-Nachrichtendiensten, allerdings auch recht zahnlos. Er leitet lediglich die Beschwerden an Stellen weiter, die die Kompetenz haben, diese zu untersuchen und im Fall der Fälle in rechtlicher Hinsicht tätig zu werden, und gibt bezüglich Fortgang und Ergebnis der Untersuchung Rückmeldung an den Beschwerdeführer. Schließlich will das US-Handelsministerium nunmehr den US-Unternehmen, die sich zu "Privacy Shield" verpflichten, strenger auf die Finger schauen und Verstöße konsequent ahnden - also endlich das tun, was bereits unter "Safe Harbor" hätte passieren sollen, aber in der Praxis nur mangelhaft erfolgte.
Kein Eindruck auf die USA
Werden sich die US-amerikanischen Nachrichtendienste also durch "Privacy Shield" nachhaltig beeindrucken lassen? Höchstwahrscheinlich nicht. Die Kontrollmechanismen in den USA sind, verglichen mit den europäischen, deutlich schwächer ausgeprägt und funktionieren anders. Die US-Seite macht zahlreiche Zusagen und Versprechungen, ist aber letztlich bestrebt, möglichst unverbindlich zu bleiben. Die Verhandlungsposition der Europäer war aber auch von vornherein wesentlich schwächer als die der USA. Die EU-Kommission brauchte ein Abkommen, um nicht einen Großteil der europäischen Unternehmen vor größere Probleme zu stellen - und das auch noch unter Zeitdruck.
Die Big Player der IT-Industrie und des Internets sitzen nun einmal in den USA, und Europa befindet sich hier in einer mehr oder weniger ausgeprägten Abhängigkeit. Natürlich möchten auch die US-Unternehmen keine Kunden verlieren und würden dies ihrer Regierung übel nehmen. Aber erstens gibt es noch andere Kunden in anderen Teilen der Welt, die aus US-Sicht weniger pingelig sind, und zweitens stellen die USA im Zweifelsfall ihre nationale Sicherheit noch immer über die wirtschaftlichen Interessen auch US-amerikanischer Unternehmen. Wie sollte unter solchen Voraussetzungen ein Verhandlungsergebnis zustande kommen, das näher an den europäischen als an den US-amerikanischen Interessen liegt?
Gibt es andere Wege?
Was sind nun die Folgen für Europa und die europäischen Unternehmen? Das kommt darauf an, welches Ziel man verfolgt. Geht es nur um den Mehrwert, den man aus einem Service, für den die Übermittlung von PBD in die USA notwendig ist, ziehen kann, und betrachtet man die Einhaltung des Datenschutzes in dem Zusammenhang lediglich als notwendiges Übel, das es nun mal zu beachten gilt, dann dürfte "Privacy Shield" eine praktikable Lösung darstellen. Geht es aber um tatsächlichen Datenschutz in dem Sinne, dass ein vergleichbares Niveau wie in der EU garantiert ist, dann wohl eher nicht. Hier gilt es abzuwägen und die Sensibilität der Daten mit zu berücksichtigen. Da das Thema in der Öffentlichkeit durch das Urteil des Europäischen Gerichtshofs und die anschließenden Diskussionen auch wesentlich präsenter ist als noch zu Zeiten von "Safe Harbor", dürften sich auch die kritischen Nachfragen von Kundenseite häufen und die Übermittlung von Kundendaten in die USA nicht immer auf große Begeisterung stoßen.
Selbstverständlich bleibt es jedem Unternehmen überlassen, sich im konkreten Fall um individuell ausgehandelte und schärfere Vereinbarungen zu bemühen, doch ist dies eigentlich nicht der Sinn des Abkommens. Standardvertragsklauseln und Binding Corporate Rules stehen seit dem Urteil des Europäischen Gerichtshofs auf wackeligem Fundament und werden unter dem Eindruck von "Privacy Shield" neu zu bewerten sein. Solange in den USA nicht ein Mentalitätswechsel stattfindet, dürfte es dabei bleiben, dass jedes Datenschutzabkommen zwischen Europa und den USA einen Kompromiss darstellt, der das Schutzniveau gegenüber dem EU-Standard absenkt. Möchte ein Unternehmen künftig beispielsweise eine US-gestützte Cloud-Lösung nutzen, empfiehlt sich die Durchführung einer Vorabkontrolle, am besten durch neutrale Experten beziehungsweise Gutachter.
Nationale Alternativen
Als Option, mit der sich das Problem grundsätzlich umgehen lässt, bleibt noch die Nutzung deutscher bzw. europäischer Alternativen. Ansätze hierzu gibt es immer wieder; siehe beispielsweise aktuell die Microsoft Cloud mit deutscher Datentreuhand. Aber es ist nicht einfach. Zu verlockend, vielfältig und günstig sind die Angebote aus Übersee. Nicht immer lässt sich etwas Vergleichbares in heimischen Gefilden finden, oder aber die geschäftlichen Beziehungen erzwingen nun mal den Datenaustausch mit den USA. Unternehmen, die sich dazu entschließen, den USA datentechnisch den Rücken zuzukehren, müssen aber zumindest nicht mehr mit bangem Blick auf das Damoklesschwert starren, das auch über "Privacy Shield" bereits zu hängen scheint. Denn es erscheint aus heutiger Sicht eher fraglich, dass das Urteil der Datenschützer besonders positiv ausfallen wird. Und sollte es erneut zu einer Klage vor dem Europäischen Gerichtshof kommen, kann auch niemand vorhersagen, wie das Urteil der Richter ausfallen wird. Sollte auch "Privacy Shield" gekippt werden, wäre jede weitere Vereinbarung, die die EU-Kommission daraufhin ohne frühzeitige Einbindung der europäischen Datenschützer anstreben würde, von vornherein unglaubwürdig.
Fazit
Bei allem Vorbehalt, den es bis zum Vorliegen der abschließenden Stellungnahme der "Artikel-29-Datenschutzgruppe" zu hegen gilt, ist die Prognose für "Privacy Shield" nicht sonderlich positiv. Europa kann den bequemen Weg gehen und sich den US-amerikanischen Vorstellungen vom Datenschutz anpassen oder sich aber für den unbequemen Weg entscheiden, die europäischen Datenschutzinteressen ernsthaft umzusetzen - sei es über entsprechende Vereinbarungen mit den USA oder über die Förderung europäischer Alternativen zu den Angeboten US-amerikanischer Unternehmen. Der Weg, der aktuell beschritten wird, sieht jedoch eher nach einem faulen Kompromiss aus. (sh)