Die Euphorie von Politik und Wirtschaftsverbänden erscheint angesichts des EU-US Privacy Shield grenzenlos. In letzter Sekunde schien man die Lösung gefunden zu haben, um die Frist der Article 29 Data Protection Working Party (Artikel-29-Datenschutzgruppe) einzuhalten. Die Gruppe hatte im Oktober 2015 eine Frist bis Ende Januar gesetzt, um eine Lösung zur Umsetzung der datenschutzrechtlichen Vorgaben des EuGH-Urteils zu Safe Harbor zu finden.

Doch die Euphorie kam zu früh, wie sich am Mittwoch in einer Pressekonferenz mit Isabell Falque-Pierrotin, Vorsitzende der WP29, zeigte. Sie teilte mit, dass die Gruppe die Bemühungen der USA und der EU, eine Einigung zu finden, begrüße. Allerdings benötige man für ein endgültiges Urteil die entsprechenden Dokumente, denn bislang basierten alle Angaben lediglich auf den Worten der EU-Kommission. Die Dokumenteneinsicht sei ferner erforderlich, um den genauen Inhalt und seine Bestimmungen zu erfahren - hierzu setzte die Datenschützerin der Kommission eine Frist bis Ende Februar.

Unsicherheit bis April

Ferner sei auch noch die rechtliche Verbindlichkeit der Dokumente zu prüfen. Des Weiteren forderte Falque-Pierrotin, dass es verbindliche, transparente und einklagbare Garantien für den Umgang der US-Geheimdienste mit den Daten europäischer Bürger in den USA geben müsse - ansonsten sei ein Datentransfer in die USA nicht statthaft. Deshalb seien die Datenschützer bereit, zu prüfen, inwieweit der Privacy Shield ihre Bedenken hinsichtlich der Datenverarbeitung durch die US-Geheimdienste ausräume. Hierzu will die WP29 ab Ende Februar ein Assessment durchführen sowie anschließend Ende März eine außerplanmäßige Sitzung einberufen. Angesichts dieser Pläne ist davon auszugehen, dass sich die Working Party vor April kein abschließendes Urteil zum Privacy Shield bildet.

Nutzung von Safe Harbor ist illegal

Gleichzeitig will die Working Party bis zu diesem Zeitpunkt prüfen, inwieweit künftig ein Datentransfer auf Basis der Standardvertragsklauseln und der so genannten Corporate Binding Rules erlaubt sind, da man hier grundsätzliche Bedenken habe. Nun gelte es herauszufinden, ob diese Bedenken mit dem Privacy Shield ausgeräumt werden. Bis zum Abschluss dieser Prüfung könnten die Mechanismen aber weiter verwendet werden. Eine weitere Verwendung von Safe Harbor sei dagegen ganz klar illegal. Eine entsprechende Strafverfolgung liegt in der Hand der nationalen Datenschutzbehörden.

Verfrühter Jubel in Deutschland

Angesichts dieser Entwicklung und vor dem Hintergrund der Tatsache - dass EU-Kommissarin Vera Jourová gegenüber Falque-Pierrotin zugab, dass es sich nur um unilaterale Entscheidung der EU-Kommission handele - war das positive Echo auf den Privacy Shield in Deutschland wohl verfrüht. So lobte etwa Bundesinnenminister Thomas de Maizière - wie berichtet - die Vereinbarung als "großen Erfolg". Auf Wirtschaftsseite begrüßte etwa der Digitalverband Bitkom die Einigung zwischen der EU-Kommission und der US-Regierung. "Das neue Abkommen ist ein wichtiger Schritt zu mehr Rechtssicherheit beim Datenaustausch mit den USA", erklärte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. "In der digitalen Welt von heute müssen neben Waren und Dienstleistungen auch Daten Grenzen überschreiten können. Dafür brauchen die Unternehmen auf beiden Seiten des Atlantiks sichere rechtliche Grundlagen."

Verbände begrüßen Privacy Shield

Oliver Süme, eco-Vorstand für Politik &Recht kommentiert die Einigung zwischen EU und USA so: "Die Übereinkunft des sogenannten EU-US Privacy Shields zwischen EU-Kommission und den USA ist ein wichtiger Schritt für eine Nachfolgeregelung zum Safe-Harbor Abkommen. Entscheidend ist jetzt eine verbindliche und tragfähige Regelung für die Zukunft, die den Unternehmen Rechtssicherheit garantiert. Dabei ist die größte Herausforderung, eine ausgewogene interessengerechte Regelung für den transatlantischen Datenaustausch zu schaffen, die den hohen europäischen Datenschutzstandards genügt und den Anforderungen des EuGH entspricht, gleichzeitig aber auch praktikabel für die Unternehmen ist."

EU versenkt Bürgerrechte im Unsafe Harbor

Dass diese sicheren rechtlichen Grundlagen nun mit dem Privacy Shield wirklich gegeben sind und damit ein Nachfolger für Safe Harbor gefunden ist, bezweifeln Kritiker. Etliche vertreten die Meinung, dass die Vereinbarung nicht das Papier wert sei, auf dem sie gedruckt sei. Ein Grund für die harsche Kritik dürfte darin liegen, dass die EU bislang den genauen Wortlaut des "Agreements" - von einem Vertrag ist keine Rede - nicht veröffentlicht hat, sondern lediglich eine Pressemitteilung ins Netz gestellt hat.

Erschwerend kommt hinzu, dass viele an der Verbindlichkeit des Privacy Shield zweifeln, da es sich ja, wie Joe McNamee, Executive Director of European Digital Rights (EDRi), kritisiert, lediglich um einen "Exchange of Letters" handele, die von einem scheidenden US-Präsidenten abgegeben würden und für die nächste US-Regierung nicht verbindlich seien. Noch deutlicher wird der Journalist und Blogger Edward Hasbrouck, der kritisiert, dass für die USA nur dann etwas verbindlich sei, wenn es auch vom US Senat ratifiziert werde. McNamee vergleicht das Ganze denn auch mit einem bekannten Märchen und kommt zu dem Schluss, "dass der Kaiser mal wieder neue Kleider anprobiert. Der Verteidigungsversuch europäischer Bürgerrechte der EU-Kommission versinkt in einem unsicheren Hafen (unsafe harbor)."

Snowden: EU kapituliert in Sachen Safe Harbor

Edward Snowden kann dem Privacy Shield in seinem Tweet auch nichts Positives abgewinnen: "Die EU hat komplett in Sachen Safe Harbour kapituliert, und das obwohl sie alle Trümpfe in der Hand hatte. Ich habe noch nie eine politische Übereinkunft gesehen, die so stark kritisiert wurde." Auch Max Schrems - der Österreicher brachte mit seiner Klage vor dem EuGH Safe Harbor zu Fall und löste damit die verzweifelte Suche nach einer neuen Rechtsgrundlage aus - kann die Begeisterung der EU-Kommission nicht teilen: "Es gibt anscheinend noch nicht mal einen Text.

Vieles sind nur Überschriften, aber schon die Überschriften lassen befürchten, dass dieser 'Deal' einfach nur ein Roundtrip zum EuGH nach Luxemburg ist. So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend größer." So kritisiert Schrems, dass fundamentale Punkte des EuGH-Urteils wie etwa keine Massenüberwachung, Verarbeitung privater Daten im kommerziellen Umfeld etc. nicht umgesetzt seien.

Unsicherheit für Wirtschaft bleibt

Zudem, so Schrems weiter, würde eine Umsetzung des Privacy Shields in geltendes Recht noch Monate dauern - und solange bestehe die Unsicherheit für die Wirtschaft weiter. Des Weiteren bleibt unklar, ob die vorliegende Vereinbarung das Plazet der Article 29 Working Party (Artikel-29-Datenschutzgruppe) erhält.