Die EU-Kommission und die USA haben sich auf ein neues Datenübermittlungs-Abkommen geeinigt. Privacy Shield, so der Name, soll laut EU-Kommission alle Anforderungen, die der Europäische Gerichtshof in seinem Safe Harbor-Urteil von Anfang Oktober an ein Abkommen gestellt hat, enthalten.
Ein Text des Übereinkommens existiert noch nicht, dafür aber ein Logo. Weitreichende Details sind ebenfalls noch nicht öffentlich, oder wahrscheinlich noch gar nicht verhandelt. Denn über Details will man in den kommenden drei Monaten sprechen. "Unserer Bürger können sicher sein, dass ihre personenbezogenen Daten vollkommen geschützt sind", resümierte EU-Kommissions-Vize Andrus Ansip über die Verhandlungen.

Fest steht bisher, dass US-Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übermitteln wollen, Verpflichtungen bezüglich dessen, was mit den Daten geschieht, eingehen müssen sowie individuelle Rechte garantieren. Die auf US-Seite zuständigen Behörden, das Department of Commerce und die Federal Trade Commission (FTC), sollen dafür sorgen, dass diese Verpflichtungen öffentlich erfolgen - denn dann könnte gegen einen Verstoss auch unter US-Recht geklagt werden.

Auch US-Behörden sollen sich verpflichten. Nur sehr eingeschränkt, unter Schutzmassnahmen und vollständiger Transparenz sollen sie zur Durchsetzung des Rechts oder zum Schutz der nationalen Sicherheit Zugang zu personenbezogenen Daten von EU-Bürgern haben. Auch willkürliche Massenüberwachungen soll es nicht geben. "Zum allerersten Mal" habe sich die USA bindend verpflichtet, das einzuhalten, so EU-Justizkommissarin Věra Jourová.

Ein Eingriff soll nur erlaubt sein, wenn dieser notwendig und verhältnismässig ist, wie bei Grundrechtseingriffen üblich. Dass Notwendigkeit und Verhältnismässigkeit aber Auslegungssache sind, weiss jeder Jurist. Sonst wären Verfassungsgerichte obsolet. Und wenn es um den Schutz der nationalen Sicherheit geht, haben die Gerichte der USA bisher sehr vieles als notwendig angesehen.

Wenn sich EU-Bürger einer Datenschutzverletzung ausgesetzt sehen, können sie sich bei den jeweiligen Unternehmen beschweren. Die europäischen Datenschutzbeauftragten können Beschwerden auch an zuständige US-Behörden leiten. Ausserdem verpflichten sich die USA, einen Ombudsmann bereit zu stellen, der in solchen Fällen verantwortlich ist. Mit der noch vor kurzem diskutierten Möglichkeit, dass EU-Bürger ihre Rechte vor US-Gerichten einklagen können, dem sogenannten "Judicial Redress Act", hat die neue Regelung nichts mehr gemein. Auch unklar ist, was passiert, wenn eine US-Behörde gegen das Abkommen verstösst.

Denn das war der grosse Kritikpunkt an Safe Harbor. Der EuGH kippte das Abkommen nicht, weil Unternehmen nicht stark genug in der Pflicht waren. Sondern weil US-Unternehmen zur Herausgabe von User-Daten von US-Behörden gezwungen werden können. Dieser Fakt garantiert keine Datensicherheit nach dem europäischen Verständnis von einem Grundrecht auf informationelle Selbstbestimmung.

Privacy Shield wirkt bisher eher wie eine auf die Schnelle zusammengezimmerte Erklärung, in der man den USA abgerungen hat, sich zu verpflichten, auf Daten nicht wahllos zuzugreifen. Da die Amnestie des EuGH-Urteils seit Montag zu Ende war, mussten Kommission und US-Regierung schnell handeln. Sieht man sich an was dabei herausgekommen ist, scheint es auf jeden Fall zu schnell. Ansips Zusicherung nach Abschluss der Verhandlungen kann bei der fehlenden Rechtssicherheit nur als Hohn aufgefasst werden.

Als "Ausverkauf des EU-Grundrechts auf Datenschutz“ bezeichnete der EU-Parlamentsabgeordnete und Datenschutzexperte Jan Philipp Albrecht (Grüne) die Vereinbarung. Sie sei ein Affront gegenüber dem EuGH und den Verbrauchern in Europa. Auch Konstantin von Notz, netzpolitischer Sprecher der Grünen, bezeichnete das Privacy Shield als "Scheinlösung". Es sei "grob fahrlässig", so ein Papier vorzulegen. Max Schrems, der mit seiner Klage gegen Facebook das EuGH-Urteil erreicht hatte, sagte: "So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend grösser.“ Und auch Edward Snowden äusserte sich bereits: Privacy Shield sei kein Schild für Privatsphäre sondern ein Schutz vor Haftung. Er habe noch kein politisches Abkommen gesehen, das so universell kritisiert worden ist.

Überblick
Im Oktober hatte der EuGH in Luxemburg das Safe Harbor-Abkommen, das europäische Unternehmen als Grundlage der Datenübermittlung in die USA nutzten, für ungültig erklärt. Personenbezogene Daten europäischer Bürger seien nicht ausreichend vor dem Zugriff durch US-Behörden geschützt, so das Gericht.

Ausgangspunkt des Streits war die Klage des Österreichers Max Schrems, der den mangelnden Datenschutz bei Facebook kritisierte. US-Unternehmen seien verpflichtet, in Europa geltende Schutzregeln ausser Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit beziehungsweise des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig können EU-Bürger nicht die Löschung ihrer Daten verlangen, so der EuGH.