Privacy Shield reloaded

USA und EU schmieden neuen Datenschutzpakt

28.03.2022
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Ein neues Regelwerk zum Datenschutz soll Handelsbarrieren zwischen den USA und Europa abbauen. Doch dafür müssten die Amerikaner erst einmal ihre Geheimdienste an die Kandarre nehmen.
Der Datenschutz zwischen EU und den USA ist löchrig. Bis heute hat kein Abkommen der kritischen Prüfung der Gerichte standgehalten.
Der Datenschutz zwischen EU und den USA ist löchrig. Bis heute hat kein Abkommen der kritischen Prüfung der Gerichte standgehalten.
Foto: Andrey_Kuzmin - shutterstock.com

Die Ankündigung kam überraschend und von höchster Stelle. US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen erklärten, man habe eine "grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt". Ein neues Regelwerk wäre tatsächlich überfällig: Im Juli 2020 hatte der Europäische Gerichtshof mit dem Schrems-II-Urteil das bis dahin gültige Privacy Shield außer Kraft gesetzt. Dieses Abkommen sollte regeln, wie Daten zwischen Europa und den Vereinigten Staaten rechtssicher ausgetauscht werden können.

Seit nunmehr fast zwei Jahren herrscht in vielen Unternehmen beiderseits des Atlantiks Unsicherheit darüber, wie mit der Übertragung und dem Speichern personenbezogener Daten rechtskonform umzugehen ist. Der Druck auf die Politik wuchs, eine Lösung zu finden. Doch die Verantwortlichen machten zunächst wenig Hoffnung auf ein schnelles Verhandlungsergebnis. Zu komplex sei das Thema, gerade auch wegen der strengen Datenschutzregeln in Europa. Außerdem sollte ein neuer Vertrag den zu erwartenden rechtlichen Prüfungen der Gerichte standhalten können. Alle Anläufe zuvor konnten vor dem strengen Blick der obersten europäischen Richter nicht bestehen. Bereits 2016 hatte der EuGH Safe Harbour, das Vorläuferabkommen des Privacy Shield, gekippt.

EuGH zerstört EU-US Privacy Shield

Dass nun wieder Bewegung in die Verhandlungen kommt, ist wohl auch der aktuellen politischen Gesamtsituation geschuldet. Angesichts des russischen Angriffs auf die Ukraine verschieben sich die internationalen Handelsströme. Mit den Sanktionen gegen den russischen Machthaber Wladimir Putin, etliche Staatskonzerne und viele Oligarchen in Russland sind die wirtschaftlichen Beziehungen Europas nach Osten weitgehend gekappt. Infolgedessen dürfte sich der transatlantische Handel intensivieren.

Noch liegt kein Vertrag auf dem Tisch

Doch dafür müssen wirtschaftliche Hürden aus dem Weg geräumt werden. Angesichts der Dringlichkeit haben sich nun offenbar Spitzenpolitiker in Europa und den USA der Sache angenommen. Kommissionspräsidentin von der Leyen erklärte, der neue Rahmen werde "voraussehbare und vertrauenswürdige Datenströme zwischen der EU und den USA ermöglichen und gleichzeitig die Privatsphäre und die bürgerlichen Freiheiten schützen."

EU Kommissionspräsidentin Ursula von der Leyen verspricht vertrauenswürdige Datenströme zwischen der EU und den USA.
EU Kommissionspräsidentin Ursula von der Leyen verspricht vertrauenswürdige Datenströme zwischen der EU und den USA.
Foto: martinbertrand.fr - shutterstock.com

Auch wenn auf höchster politischer Ebene prinzipiell Einigkeit erzielt wurde, liegt doch noch kein verbindliches Abkommen auf dem Tisch. Einen unterschriftsreifen Vertrag gilt es noch im Detail auszuhandeln. Delegationen der US-Regierung und der Europäischen Kommission sollen in den kommenden Monaten die entsprechenden Dokumente ausarbeiten, die dann noch auf beiden Seiten des Atlantiks von den jeweiligen Parlamenten verabschiedet werden müssen, heißt es in einer Mitteilung aus Brüssel.

Die Hoffnungen aller Beteiligten, dass ein neues Abkommen Bestand haben wird, gründet sich in erster Linie auf der Zusage der USA, die strengeren europäischen Datenschutzregeln zu respektieren. Dieser Punkt war 2020 ausschlaggebend dafür gewesen, dass die Richter am EuGH den Privacy Shield für nicht rechtens erklärt hatten. Personenbezogene Daten europäischer Bürger würden durch das Regelwerk bei einer Übermittlung in die USA nicht ausreichend geschützt, so die Begründung des Gerichts. Tatsächlich würden US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, Vorrang eingeräumt.

DSGVO vs. FBI, CIA, NSA & Co.

Das ermögliche Eingriffe in die Grundrechte europäischer Nutzer, deren Daten in die USA übertragen werden. Die Richter verwiesen vor allem darauf, dass die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet sei. Die DSGVO schreibt vor, dass eine Nutzung der Daten auf das zwingend erforderliche Maß zu beschränken sei. Das sei in den USA gerade hinsichtlich der Aktivitäten der Nachrichtendienste nicht der Fall.

Der EuGH kritisierte ferner, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keine Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen. Die im Privacy Shield vorgesehene Einrichtung einer Ombudspersonsei wirkungslos.

Das soll sich mit dem neuen Abkommen ändern. Die USA wollen sich dazu verpflichten, den Schutz der Privatsphäre im Rahmen der Nutzung von Daten europäischer Bürger einzuhalten. Sie würden neue Sicherheitsvorkehrungen treffen, um zu gewährleisten, dass Überwachungsmaßnahmen und Datenzugriffe durch die US-Geheimdienste gemäß den europäischen Datenschutzregeln erfolgen. Die Rede ist von einem zweistufigen unabhängigen Rechtsbehelfsmechanismus mit verbindlichen Befugnissen. Außerdem soll eine strenge und mehrschichtige Aufsicht über die Aktivitäten der Geheimdienste eingerichtet werden, um die Einhaltung der Beschränkungen für Überwachungsmaßnahmen sicherzustellen.

Die Verantwortlichen der EU-Kommission sprechen von einem Beweis für die Stärke der Beziehungen zwischen den USA und der EU. Es gehe darum, die Partnerschaft als Gemeinschaft von Demokratien weiter zu vertiefen sowie die Sicherheit als auch die Achtung der Privatsphäre zu gewährleisten und wirtschaftliche Chancen für Unternehmen und Bürger zu ermöglichen. Der neue Rahmen werde eine dauerhafte Grundlage für den transatlantischen Datenverkehr schaffen, der für den Schutz der Bürgerrechte und die Ermöglichung des transatlantischen Handels in allen Wirtschaftssektoren, auch für kleine und mittlere Unternehmen, von entscheidender Bedeutung ist, heißt es in einer Mitteilung.

USA müssten Befugnisse der Geheimdienste beschneiden

Während die europäische Position in Sachen Datenschutzvorschriften klar ist, bleiben auf US-amerikanischer Seite noch viele Aspekte offen. Um der DSGVO zu genügen, müssten diverse US-Gesetze angepasst werden, wie zum Beispiel der Foreign Inteligence Surveillance Act und der Cloud Act. Diese erlauben US-Geheimdiensten weitgehenden Zugriff auch auf Daten von EU-Bürgern.

Diese Gesetze zu ändern, bedarf der Zustimmung des Kongresses und des Senats. Angesichts der tiefen Gräbern zwischen den politischen Lagern in den USA erscheint dies jedoch unwahrscheinlich. Offensichtlich plant US-Präsident Biden deshalb, den neuen Datenpakt als Dekret per Executive Order durchzusetzen. Ob sich die EU und deren Gerichte damit zufriedengeben werden, bleibt abzuwarten. Ein Dekret kann schnell wieder gekippt werden kann, ein Gesetz wäre deutlich stabiler und verlässlicher.

Noch stehen also viele Fragezeichen hinter dem neuen Abkommen. Es geht um die Frage, ob und wie EU-Bürger ihre Ansprüche in Sachen Datenschutz vor US-Gerichten durchsetzen können und wie die großen US-amerikanische Internetkonzerne dazu verpflichtet werden können, mehr für den Datenschutz zu tun. Das zu klären, dürfte noch viele Monate dauern.

Datenschutzaktivisten lauern schon

Deshalb bleiben die ersten Reaktionen auf die Ankündigung eines neuen Datenschutzabkommens auch eher verhalten. Datenschützer werden das neue Regelwerk nun im Detail prüfen und bei den geringsten Zweifeln wieder die Gerichte anrufen. Das hat jedenfalls der österreichische Datenschützer und Privacy-Aktivist Max Schrems bereits angekündigt, der mit seinen Klagen schon die Vorgängerabkommen Safe Harbour und Privacy Shield erfolgreich vor dem EuGH zu Fall gebracht hatte.

Der österreichische Datenschutzaktivist Max Schrems geht davon aus, dass auch das neue Abkommen vor dem EuGH landen wird.
Der österreichische Datenschutzaktivist Max Schrems geht davon aus, dass auch das neue Abkommen vor dem EuGH landen wird.
Foto: Von Manfred Werner - Tsui - Eigenes Werk, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?cu

Schrems verwies darauf, dass derzeit nur eine politische Ankündigung vorliege, kein konkreter Text. "Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte. Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen", kommentierte der Datenschutzaktivist die Ankündigung. Sobald der endgültige Text vorliege, werde man ihn eingehend analysieren. "Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten", so Schrems. "Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird".

Schrems glaubt nicht, dass die USA ihre Überwachungsgesetze ändern werden. Zusicherungen der Behörden mittels Executive Orders seien wirkungslos und könnten nicht eingeklagt werden. "Der Deal war offenbar ein Symbol, das von van der Leyen gewollt war, aber keinen Rückhalt der Experten in Brüssel hat, da sich die USA nicht bewegt haben", kritisiert der Datenschützer. "Besonders empörend ist, dass die USA angeblich den Krieg gegen die Ukraine genutzt haben, um die EU in dieser Wirtschaftsfrage unter Druck zu setzen." Es sei bedauerlich, dass die EU und die USA diese Situation nicht genutzt hätten, um zu einem 'No-Spy'-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. "Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit", prognostiziert Schrems.

USA wollen an biometrische Daten von EU-Bürgern

Tatsächlich deuten aktuelle Signale darauf hin, dass die USA ihre Überwachungsaktivitäten eher verschärfen. Die US-Regierung hat jüngst ein Schreiben an alle EU-Mitgliedstaaten verschickt, das eine "Verstärkte Partnerschaft für Grenzsicherheit" (Enhanced Border Security Partnership) ankündigt. Darin soll der Zugriff auf Fingerabdruckdatenbanken durch US-amerikanische Grenzbehörden geregelt werden. Dies werde künftig auch für Länder gelten, deren Bürger visafrei in die USA zu touristischen oder geschäftlichen Zwecken einreisen dürfen.

Auch die Bundesregierung hat über die US-Botschaft in Berlin Anfang Februar eine entsprechende Mitteilung erhalten. Das geht aus der Antwort des Innenministeriums auf eine parlamentarische Anfrage des Abgeordneten Andrej Hunko von der Fraktion Die Linke hervor. Demzufolge soll die neue Vorschrift ab 2027 gelten. Unklar ist, auf welche Datenbanken die US-Behörden in Deutschland zugreifen wollen. Hierzulande liegen Fingerabdrücke für polizeiliche und grenzpolizeiliche Zwecke in der Inpol-Datei, die vom Bundeskriminalamt (BKA) geführt wird.

Politischer Willen allein reicht nicht

Vertreter aus Verbänden und Politik in Deutschland sind dennoch optimistisch. Der Bitkom begrüßte die Ankündigung der EU-Kommission, dass eine grundsätzliche politische Einigung mit den USA über einen Nachfolger des Privacy Shield erzielt worden ist. Allerdings sei die politische Einigung nur der dringend notwendige erste Schritt. "Jetzt gilt es diesen politischen Willen in eine belastbare rechtliche Regelung zu überführen", mahnte Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom. "Die Unternehmen brauchen rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann."

Konstantin von Notz, Fraktionsvorsitzender der Grünen im Bundestag, hofft auf einen echten Kurswechsel mit dem neuen Datenschutzabkommen.
Konstantin von Notz, Fraktionsvorsitzender der Grünen im Bundestag, hofft auf einen echten Kurswechsel mit dem neuen Datenschutzabkommen.
Foto: Bündnis 90/Die Grünen Bundestagsfraktioin/Stefan Kaminski

Konstantin von Notz, Fraktionsvorsitzender der Grünen im Bundestag, verwies auf die dringende Notwendigkeit, den transatlantischen Datenaustausch endlich rechtssicher zu regeln. "EU-Kommission und die bisherige Bundesregierung hatten es bislang immer vorgezogen, sich irgendwie durchzumogeln." Das müsse endlich aufhören. Es sei ausdrücklich zu begrüßen, dass die EU und die Vereinigten Staaten sich nun auf höchster Ebene über ein neues Abkommen zum Datenaustausch "im Grundsatz" verständigt haben. "Gleichzeitig braucht es nun dringend mehr Transparenz bezüglich der genauen Inhalte und des weiteren Vorgehens."

An dieser Stelle hat der Grünen-Politiker allerdings klare Vorstellungen. "Die Kommission muss insgesamt zwingend darauf hinwirken, dass das neue Abkommen einen echten Kurswechsel einleitet: Statt immer neuer Hilfskonstrukte braucht es glasklare Rechtsgrundlagen, die diesmal tatsächlich durchtragen." Ob die Neuregelung in der Lage sein werde, die offenkundigen und höchstproblematischen Defizite endlich konsequent abzustellen, bleibe abzuwarten. Allerdings brauche es nun dringend "mehr Transparenz bezüglich der genauen Inhalte".

Datenschützer haben keine allzu hohen Erwartungen

Datenschützer warnen indes vor zu hohen Erwartungen. "Die Datenschutzbeauftragten in Deutschland begrüßen, dass die EU und die USA eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt haben", sagte Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. "Die Ankündigung ist zunächst sicherlich ein Hoffnungsschimmer für unzählige Datenschutzbeauftragte, die sich in ihrer Beratung mit zunehmender Rechtsunsicherheit konfrontiert sehen, wenn es darum geht, Daten in die USA zu übermitteln."

In der bisherigen Rechtsprechung des Europäischen Gerichtshof zu früheren transatlantischen Abkommen sieht Spaeing eine Bestätigung des sehr hohen Schutzniveaus für personenbezogene Daten und die Rechte sowie Freiheiten betroffener Personen in Europa. Beamte auf beiden Seiten des Atlantiks hätten darum gekämpft, den Europäern einen wirksamen Rechtsbehelf gegen die Überwachung durch US-Behörden zu geben. Von der Leyens Kommentare würden darauf hindeuten, dass technische Lösungen in Reichweite sind. Aber der Datenschützer mahnt: "Es bleibt abzuwarten, inwiefern dieses neue Abkommen vor Gericht Bestand haben wird. Ich denke, man sollte hier keine allzu hohen Erwartungen hegen, bis Details zu dem Abkommen bekannt sind."