Datenschützer-Kommentar

EU-US Privacy Shield - Datenschutz auf Sand gebaut?

10.03.2016
Von  und
Holger Ridinger ist Datenschutzbeauftragter und Sachverständiger beim Bundesfachverband der IT-Sachverständigen und -Gutachter, BISG e.V.


Dr. Ralf Schadowski ist seit 25 Jahren in der IT, zunächst als IT Chef, später gründete er mehrere Unternehmen und fokussiert seit 10 Jahren ausschließlich auf das Thema Informationssicherheit, IT Compliance und Internationaler EU Datenschutz. Als Vorstand sowie Fachgruppenleiter für Datenschutz im Bundesfachverband für IT Sachverständige und Gutachter BISG e.V. erarbeitet er Standards für angemessenen und lebendigen Datenschutz in Unternehmen.

Privacy Shield - alter Wein in neuen Schläuche

Dies ist auch das grundsätzliche Problem des Nachfolgeabkommens "Privacy Shield". Die Mentalitätsunterschiede lassen sich nicht mit einem solchen Abkommen aus der Welt schaffen. Die nationale Sicherheit steht in den USA über allem anderen. "America first" ist nicht nur ein leerer Slogan, sondern wird gelebt. Wenn es um die Sicherheit und die Interessen der USA geht, sind Sicherheit und Interessen von Einzelpersonen oder anderen Staaten meist irrelevant. Wer es seit Jahrzehnten gewohnt ist, in praktisch allen Dingen am längeren Hebel zu sitzen und kaum einmal Kompromisse eingehen zu müssen, der tut sich schwer damit, sich zurückzunehmen und die Interessen von Dritten zu wahren - vor allem dann, wenn er dieses Denken nicht nachvollziehen kann oder für falsch hält.

Machen wir uns nichts vor: "Privacy Shield" dient - wie zuvor schon "Safe Harbor" - in erster Linie dem Zweck, den Unternehmen beiderseits des Atlantiks einen bequemen und rechtssicheren Weg des Datenaustauschs zu ermöglichen. Dies zeigt eben auch die Tatsache, dass die EU-Kommission kurz nach Ablauf der Übergangsfrist mit einer mündlichen Verlautbarung an die Öffentlichkeit ging, gemäß dem Motto: "Macht euch keine Sorgen, wir handeln schon irgendetwas aus, damit ihr auch in Zukunft wie gewohnt euren Geschäften nachgehen könnt." Hauptsache, die Wirtschaft läuft, das tatsächliche Niveau des Datenschutzes hat sich dem unterzuordnen. Welchen Stellenwert die EU-Kommission dem Datenschutz beimisst, zeigt auch die Tatsache, dass die europäischen Datenschützer in die Verhandlungen nicht mit einbezogen und erst in letzter Minute überhaupt konsultiert wurden.

In der Klemme

Was sind nun aber die wesentlichen Inhalte des Entwurfs zu "Privacy Shield", und wo liegen die Fortschritte zu "Safe Harbor"? Nun, ein ganz wesentlicher Punkt ist, dass es angeblich keine anhaltlose oder massenhafte Überwachung mehr durch die US-amerikanischen Sicherheitsbehörden geben soll. Diese Aussage der EU-Kommission fußt in erster Linie auf einem Schreiben aus dem Büro des Direktors der nationalen Nachrichtendienste, James R. Clapper. Wir erinnern uns: James R. Clapper hatte 2013 vor dem Kongressausschuss für Nachrichtendienste im Rahmen der damaligen durch die Enthüllungen von Edward Snowden ausgelösten Überwachungs- und Spionageaffäre versichert, dass die NSA nicht rechtswidrig Telefondaten von US-Bürgern sammle. Einen Monat später musste er jedoch das genaue Gegenteil zugeben, konnte sich aber trotz zahlreicher Rücktrittsforderungen im Amt halten.

Aber man muss noch nicht einmal die Glaubwürdigkeit der in diesem oder den anderen Schreiben enthaltenen Zusagen in Zweifel ziehen. Ganz explizit wird von US-Seite aufgeführt, dass für sechs Zwecke auch weiterhin sehr wohl die massenhafte Erfassung von PBD erlaubt ist: um bestimmte Aktivitäten fremder Mächte aufzudecken und ihnen entgegenzutreten, zur Bekämpfung des Terrorismus, um der Weiterverbreitung von Massenvernichtungswaffen entgegenzuwirken, zum Zwecke der Cyber-Sicherheit, um Bedrohungen US-amerikanischer und verbündeter Streitkräfte aufzudecken und ihnen zu begegnen sowie zur Bekämpfung internationaler Kriminalität einschließlich der Umgehung von Sanktionen.

Eine Neuerung ist der im Außenministerium angesiedelte Ombudsmann, bei dem es sich in der ersten Besetzung übrigens um eine Frau, nämlich Catherine A. Novelli, handeln dürfte. An diesen Ombudsmann können sich Europäer mit ihren Beschwerden wenden. Zwar ist der Ombudsmann unabhängig von den US-Nachrichtendiensten, allerdings auch recht zahnlos. Er leitet lediglich die Beschwerden an Stellen weiter, die die Kompetenz haben, diese zu untersuchen und im Fall der Fälle in rechtlicher Hinsicht tätig zu werden, und gibt bezüglich Fortgang und Ergebnis der Untersuchung Rückmeldung an den Beschwerdeführer. Schließlich will das US-Handelsministerium nunmehr den US-Unternehmen, die sich zu "Privacy Shield" verpflichten, strenger auf die Finger schauen und Verstöße konsequent ahnden - also endlich das tun, was bereits unter "Safe Harbor" hätte passieren sollen, aber in der Praxis nur mangelhaft erfolgte.

Kein Eindruck auf die USA

Werden sich die US-amerikanischen Nachrichtendienste also durch "Privacy Shield" nachhaltig beeindrucken lassen? Höchstwahrscheinlich nicht. Die Kontrollmechanismen in den USA sind, verglichen mit den europäischen, deutlich schwächer ausgeprägt und funktionieren anders. Die US-Seite macht zahlreiche Zusagen und Versprechungen, ist aber letztlich bestrebt, möglichst unverbindlich zu bleiben. Die Verhandlungsposition der Europäer war aber auch von vornherein wesentlich schwächer als die der USA. Die EU-Kommission brauchte ein Abkommen, um nicht einen Großteil der europäischen Unternehmen vor größere Probleme zu stellen - und das auch noch unter Zeitdruck.

Die Big Player der IT-Industrie und des Internets sitzen nun einmal in den USA, und Europa befindet sich hier in einer mehr oder weniger ausgeprägten Abhängigkeit. Natürlich möchten auch die US-Unternehmen keine Kunden verlieren und würden dies ihrer Regierung übel nehmen. Aber erstens gibt es noch andere Kunden in anderen Teilen der Welt, die aus US-Sicht weniger pingelig sind, und zweitens stellen die USA im Zweifelsfall ihre nationale Sicherheit noch immer über die wirtschaftlichen Interessen auch US-amerikanischer Unternehmen. Wie sollte unter solchen Voraussetzungen ein Verhandlungsergebnis zustande kommen, das näher an den europäischen als an den US-amerikanischen Interessen liegt?