Privacy Shield - alter Wein in neuen Schläuche
Dies ist auch das grundsätzliche Problem des Nachfolgeabkommens "Privacy Shield". Die Mentalitätsunterschiede lassen sich nicht mit einem solchen Abkommen aus der Welt schaffen. Die nationale Sicherheit steht in den USA über allem anderen. "America first" ist nicht nur ein leerer Slogan, sondern wird gelebt. Wenn es um die Sicherheit und die Interessen der USA geht, sind Sicherheit und Interessen von Einzelpersonen oder anderen Staaten meist irrelevant. Wer es seit Jahrzehnten gewohnt ist, in praktisch allen Dingen am längeren Hebel zu sitzen und kaum einmal Kompromisse eingehen zu müssen, der tut sich schwer damit, sich zurückzunehmen und die Interessen von Dritten zu wahren - vor allem dann, wenn er dieses Denken nicht nachvollziehen kann oder für falsch hält.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Machen wir uns nichts vor: "Privacy Shield" dient - wie zuvor schon "Safe Harbor" - in erster Linie dem Zweck, den Unternehmen beiderseits des Atlantiks einen bequemen und rechtssicheren Weg des Datenaustauschs zu ermöglichen. Dies zeigt eben auch die Tatsache, dass die EU-Kommission kurz nach Ablauf der Übergangsfrist mit einer mündlichen Verlautbarung an die Öffentlichkeit ging, gemäß dem Motto: "Macht euch keine Sorgen, wir handeln schon irgendetwas aus, damit ihr auch in Zukunft wie gewohnt euren Geschäften nachgehen könnt." Hauptsache, die Wirtschaft läuft, das tatsächliche Niveau des Datenschutzes hat sich dem unterzuordnen. Welchen Stellenwert die EU-Kommission dem Datenschutz beimisst, zeigt auch die Tatsache, dass die europäischen Datenschützer in die Verhandlungen nicht mit einbezogen und erst in letzter Minute überhaupt konsultiert wurden.
In der Klemme
Was sind nun aber die wesentlichen Inhalte des Entwurfs zu "Privacy Shield", und wo liegen die Fortschritte zu "Safe Harbor"? Nun, ein ganz wesentlicher Punkt ist, dass es angeblich keine anhaltlose oder massenhafte Überwachung mehr durch die US-amerikanischen Sicherheitsbehörden geben soll. Diese Aussage der EU-Kommission fußt in erster Linie auf einem Schreiben aus dem Büro des Direktors der nationalen Nachrichtendienste, James R. Clapper. Wir erinnern uns: James R. Clapper hatte 2013 vor dem Kongressausschuss für Nachrichtendienste im Rahmen der damaligen durch die Enthüllungen von Edward Snowden ausgelösten Überwachungs- und Spionageaffäre versichert, dass die NSA nicht rechtswidrig Telefondaten von US-Bürgern sammle. Einen Monat später musste er jedoch das genaue Gegenteil zugeben, konnte sich aber trotz zahlreicher Rücktrittsforderungen im Amt halten.
Aber man muss noch nicht einmal die Glaubwürdigkeit der in diesem oder den anderen Schreiben enthaltenen Zusagen in Zweifel ziehen. Ganz explizit wird von US-Seite aufgeführt, dass für sechs Zwecke auch weiterhin sehr wohl die massenhafte Erfassung von PBD erlaubt ist: um bestimmte Aktivitäten fremder Mächte aufzudecken und ihnen entgegenzutreten, zur Bekämpfung des Terrorismus, um der Weiterverbreitung von Massenvernichtungswaffen entgegenzuwirken, zum Zwecke der Cyber-Sicherheit, um Bedrohungen US-amerikanischer und verbündeter Streitkräfte aufzudecken und ihnen zu begegnen sowie zur Bekämpfung internationaler Kriminalität einschließlich der Umgehung von Sanktionen.
Eine Neuerung ist der im Außenministerium angesiedelte Ombudsmann, bei dem es sich in der ersten Besetzung übrigens um eine Frau, nämlich Catherine A. Novelli, handeln dürfte. An diesen Ombudsmann können sich Europäer mit ihren Beschwerden wenden. Zwar ist der Ombudsmann unabhängig von den US-Nachrichtendiensten, allerdings auch recht zahnlos. Er leitet lediglich die Beschwerden an Stellen weiter, die die Kompetenz haben, diese zu untersuchen und im Fall der Fälle in rechtlicher Hinsicht tätig zu werden, und gibt bezüglich Fortgang und Ergebnis der Untersuchung Rückmeldung an den Beschwerdeführer. Schließlich will das US-Handelsministerium nunmehr den US-Unternehmen, die sich zu "Privacy Shield" verpflichten, strenger auf die Finger schauen und Verstöße konsequent ahnden - also endlich das tun, was bereits unter "Safe Harbor" hätte passieren sollen, aber in der Praxis nur mangelhaft erfolgte.
Kein Eindruck auf die USA
Werden sich die US-amerikanischen Nachrichtendienste also durch "Privacy Shield" nachhaltig beeindrucken lassen? Höchstwahrscheinlich nicht. Die Kontrollmechanismen in den USA sind, verglichen mit den europäischen, deutlich schwächer ausgeprägt und funktionieren anders. Die US-Seite macht zahlreiche Zusagen und Versprechungen, ist aber letztlich bestrebt, möglichst unverbindlich zu bleiben. Die Verhandlungsposition der Europäer war aber auch von vornherein wesentlich schwächer als die der USA. Die EU-Kommission brauchte ein Abkommen, um nicht einen Großteil der europäischen Unternehmen vor größere Probleme zu stellen - und das auch noch unter Zeitdruck.
Die Big Player der IT-Industrie und des Internets sitzen nun einmal in den USA, und Europa befindet sich hier in einer mehr oder weniger ausgeprägten Abhängigkeit. Natürlich möchten auch die US-Unternehmen keine Kunden verlieren und würden dies ihrer Regierung übel nehmen. Aber erstens gibt es noch andere Kunden in anderen Teilen der Welt, die aus US-Sicht weniger pingelig sind, und zweitens stellen die USA im Zweifelsfall ihre nationale Sicherheit noch immer über die wirtschaftlichen Interessen auch US-amerikanischer Unternehmen. Wie sollte unter solchen Voraussetzungen ein Verhandlungsergebnis zustande kommen, das näher an den europäischen als an den US-amerikanischen Interessen liegt?