“Privacy Shield” – löchriger Datenschutz schnell überpinselt

Ein Schwein mit Aufschrift Safe Harbor wird ausgesaugt

Seit Oktober 2015 ist der sog. “Safe Harbor” nun schon trockengelegt. Unternehmen, die personenbezogene Daten durch Dienstleister verarbeiten lassen, deren Hauptsitz in den USA befindlich ist, bewegen sich seitdem in rechtlich äußerst unsicherem Umfeld. Seit Anfang Februar prüfen Datenschutzbehörden verstärkt auf rechtswirksame Vereinbarungen für eben diese Verarbeitung. So werden bspw. in Hamburg bereits erste Bußgeldverfahren eingeleitet. Bußgelder bis zu einer Höhe von 300.000 € drohen im Einzelfall. Diese rechtlich unhaltbare Situation kennt auch die EU-Kommission. Und verhandelte deshalb in großer Eile eine Nachfolgeregelung namens “Privacy Shield”. Deren Details liegen nun schriftlich vor.

Mit “Privacy Shield” trägt eine eigentlich nüchterne und fundierte Regelung, die zentrale Belange moderner Informationstechnologie transatlantisch regeln soll, einen opulenten Namen. Man liest demzufolge erwartungsfroh Zeile für Zeile – und ist wie vor den Kopf geschlagen: Muss unwillkürlich den Dichter Horaz bemühen: “Parturient montes, nascetur ridiculus mus” – “Die Bergen kreißen, doch geboren wird ein gar lächerlich’ Mäuslein”

Kosmetische Korrekturen

Vielleicht etwas weniger dramatisch, aber in der Sache ähnlich deutlich fällt das Urteil im Europaparlament aus: “Es ist hoch fraglich, ob die eher kosmetischen Verbesserungen, die das so genannte ‚Privacy Shield‘ im Vergleich zu seinem für rechtswidrig erklärten Vorgänger ‚Safe Harbor‘ vorsieht, den Anforderungen des Europäischen Gerichtshofs genügen. Insbesondere der Rechtsschutz ist mehr als schwammig.”

Was ist im Einzelnen geschehen?

Nun, die USA machen gegenüber der EU im Prinzip keinerlei Zugeständnisse. Sie berufen sich auf schon bestehende Regelungen, die bereits zuvor rechtlich gesichert gewesen seien. Lediglich zu einer Konkretisierung und schriftlichen Fixierung des Überwachungsrahmens ist man bereit. Die Überwachung von EU-Bürgern sei nach den eigenen Gesetzen eh rechtens, gerne fasse man dies nun schriftlich zusammen. Die USA würden auch unter “Privacy Shield” ihre Überwachungspraxis nicht ändern. Das geht aus Dokumenten hervor, die die EU-Kommission im Zusammenhang mit den Verhandlungen für den sogenannten EU-USA-Privacy-Shield veröffentlicht hat. In einem Kommentar des US-Geheimdienstkoordinators findet sich die Aussage, dass die bislang geübte Praxis von US-Gesetzen legitimiert und transparent sei und umfangreich kontrolliert werde. Die Vereinigten Staaten führten keine Massenüberwachung durch und die sog. nationale Sicherheit der USA genieße einen hohen Stellenwert.

Sechs Überwachungszwecke schriftlich festgehalten

Daten könnten zu sechs spezifischen Themenfeldern erhoben werden: Darunter fallen der Kampf gegen Terrorismus, gegen die Verbreitung von Massenvernichtungswaffen, gegen grenzüberschreitende Kriminalität sowie der Einsatz für Internetsicherheit, zum Schutz von bewaffneten Streitkräften und zur Bekämpfung bestimmter ausländischer Aktivitäten. Bis zu fünf Jahre können die erhobenen Daten gespeichert werden. Ist die ‘nationale Sicherheit’ betroffen, darf auch länger vorgehalten werden.

Beschweren müssten sich Betroffene bei einem Ombudsmann, einer drittrangigen Repräsentantin des US-Außenministerium bzw. bei einer zentralen Stelle, die die EU noch einrichten könne; hilfsweise bei den nationalen Datenschutzbehörden (die es mglw. künftig nicht mehr geben wird, kommt erst mal die sog. EU-Datenschutzgrundverordnung). Beschwerden werden entweder verworfen, wenn aus US-Sicht alles rechtens sei, oder dem Beschwerdeführer wird kurz und bündig beschieden, dass dem Beschwerdegegenstand ‘abgeholfen’ werde. Unwillkürlich denkt man an Thomas Manns ‘Untertan’ im Angesicht einer preußischen Behörde.

Das Schwein und sein neuer Lippenstift

Kritische Stimmen wie den Österreicher Max Schrems, der mit seiner Klage seinerzeit den Stein erst ins Rollen brachte, muss man demzufolge nicht lange suchen: “Man versucht hier mit einigen Behübschungen, das illegale Safe-Harbor-System wiederzubeleben, die grundsätzlichen Probleme der US-Massenüberwachung und der Nonexistenz von US-Datenschutz sind aber nicht gelöst. Auch wenn die EU-Kommission und die USA das mit großem PR-Aufwand überdecken wollen, ist das leider keine Lösung, die sehr stabil aussieht.” Oder ganz lapidar: “”Sie haben einem Schwein (“Safe Harbor”) zehn Lagen Lippenstift aufgetragen. Ich glaube trotzdem nicht, dass der EuGH jetzt mit ihm kuscheln will.”

Dass der Ombudsmann gerade dort sitzt, wo man das Übel vermutet, ist dazu noch besonders pikant, sollte doch ein solcher Mittler prinzipiell unabhängig sein. Diesen Widerspruch teilte die derzeitige Ombudsfrau der EU, Emily O’Reilly, dann auch umgehend der mit “Privacy Shield” betrauten EU-Kommissarin Věra Jourová mit.

“Privacy Shield” Nächster Meilenstein: Der 12. April 2016

Wie auch immer. Schauen wir nach vorne und befassen uns mit der Zukunft. Die EU-Kommission wird “Privacy Shield” nun ihrem eigenen Konsultationsgremium, der sog. Artikel-29-Gruppe unterbreiten. Diese wird “Privacy Shield” eingehend prüfen und dann dazu Stellung nehmen und hat ihre Einschätzung für den 12.04.2016 angekündigt. Danach könnte die EU-Kommission “Privacy Shield” für gültig erklären – wenn nicht die Einschätzung der Artikel-29-Gruppe negativ ausfällt. Selbst wenn: Es dürfte es nicht lange dauern, bis sich die Gerichte erst- und nachinstanzlich mit “Privacy Shield” beschäftigen. Mit einiger Sicherheit wird der EUGH wieder ein ähnliches Urteil fällen wie zu “Safe Harbor”. Dann begänne die Unsicherheit von neuem.

Noch wichtiger: Bis dahin mindestens gilt: Weder “Safe Harbor” noch “Privacy Shield” bieten eine ausreichende rechtliche Grundlage zur Verarbeitung personenbezogener Daten durch externe Dienstleister!

Wissen Sie was? Lassen Sie die Daten Ihrer Kunden doch gleich in Deutschland verarbeiten. Die ProfitBricks GmbH bekennt sich mit Freuden zum manchmal lästigen, aber letztlich zur Wahrung republikanischer Strukturen unbedingt notwendigen Datenschutz. Warum Wasser mit dem Sieb schöpfen, wenn es stabile Zinkeimer gibt?

 

Autorin: Mark Neufurth
Erschienen am 2. März 2016
Original Beitrag: https://blog.profitbricks.de/privacy-shield-loechriger-datenschutz/
Quelle des Titelbilds: https://twitter.com/maxschrems/status/704278172708302848

Ähnliche Beiträge