Privatsphäre

Privacy Shield: Ein Bollwerk gegen NSA-Überwachung ist das neue Abkommen mit den USA nicht

Symbolbild für Überwachung. © Fotolia/Oleg Kozlov
Symbolbild für Überwachung. © Fotolia/Oleg Kozlov

„Safe Harbor“ raus, „Privacy Shield“ rein. Ein Monat, nachdem die EU-Kommission mündlich ein neues Datenschutzabkommen zwischen der EU und den USA verkündet hat, gibt es seit gestern endlich auch entsprechende Dokumente einzusehen, die im Wesentlichen aus Rechtstexten und eingescannten Briefen von Vertretern der US-Regierung bzw. der US-Geheimdienste bestehen. Das 15 Jahre alte Safe-Harbor-Abkommen, zur Erinnerung, wurde vom EuGH ausgesetzt, weil durch die durch Snowden aufgeflogene NSA-Überwachung (Stichwort Prism) nicht mehr garantiert werden könne, das über den Atlantik transferierte Daten von EU-Bürgern sicher vor staatlicher Überwachung seien – ein wesentlicher Punkt, wenn es um die Sicherung von Privatsphäre und Datenschutz im digitalen Zeitalter geht.

Die EU-Kommission meint jetzt: „Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen.“ Eine massenhafte Überwachung würde nicht stattfinden, der Schutz der Daten vor den Systemen der US-Behörden sei auf Augenhöhe mit jenem Schutz, den die Daten in Europa genießen würden. Noch muss die oberste Datenschutzbehörde der EU, die Article 29 Working Party, „Privacy Shield“ absegnen.

Gut für die Wirtschaft

Aus Sicht der Digitalwirtschaft ist „Privacy Shield“ sicher wichtig: Denn so kann die transatlantische Datenübertragung, die etwa 4.000 Firmen bis dato auf Basis von „Safe Harbor“ abwickelten, weitergehen. Immerhin geht es laut US-Handelsministerin Penny Pritzker um einen Datenmarkt in der Größenordnung von 260 Milliarden US-Dollar. Und der betrifft nicht nur US-Firmen wie Google und Facebook, sondern auch europäische Firmen, die etwa Cloud-Lösungen aus den USA verwenden. Sie müssen sich künftig selbst für „Privacy Shield“ zertifizieren, unterwerfen sich damit den Regeln und nehmen Strafen in Kauf, wenn bei einer Überprüfung Lücken etc. gefunden werden. Datenschutzbehörden können Strafen in der Höhe von bis zu 20 Millionen Euro oder 4 Prozent des jährlichen Umsatzes einer Firma verhängen, wenn sie Regeln brechen.

Laut EU-Kommission hätten die USA 2014 mit der „Presidential Policy Directive 28“ (PPD-28, Daten aus Festnetz- und Handyanschlüsse werden nicht mehr von der NSA, sondern von Telcos überwacht) und 2015 mit dem „Freedom Act“ (neue Limits für massenhafte Überwachung der Telekommunikation) bereits Maßnahmen gesetzt, um die Überwachung zurückzuschrauben. Allerdings: Diese Gesetze gelten nur für US-Bürger, nicht aber für Ausländer. Gesetzesänderungen, die europäische Datenschützer von den USA forderten, um auf ein gleiches Datenschutzniveau zu kommen, gibt es keine. Immerhin gibt es den „Judicial Redress Act“, der es EU-Bürgern erlaubt, ihre Rechte vor einem US-Gericht einzufordern. Doch welche Privatperson hat die Kapazitäten und das Know-how, seine Rechte in den USA im Gerichtssaal einzufordern?

Sechs Ausnahmefälle für Massenüberwachung

Stattdessen wurde aus dem Büro von US-Geheimdienstchef James Clapper verlautbart, dass es weiterhin massenhafte Überwachung in sechs Ausnahmefällen geben werde, in die man ziemlich viel hinein interpretieren kann:

  • wenn Aktivitäten fremder Mächte ausgeforscht werden sollen
  • Terrorismusbekämpfung
  • wenn die Verbreitung von Massenvernichtungswaffen bekämpft werden soll
  • um die Cyber-Sicherheit zu gewährleisten
  • wenn US-Streitkräfte oder verbündete Streitkräfte bedroht werden
  • Bekämpfung transnationaler krimineller Bedrohungen

EU-Bürger können sich künftig bei Datenschutzverletzungen an eine Ombudsperson (eingesetzt wurde Catherine A. Novelli durch US-Außenminister John Kerry) in den USA wenden. Wie man Novelli genau kontaktieren kann, ist noch nicht klar, wahrscheinlich wird eine EU-weite Anlaufstelle dafür eingerichtet werden. Kommt es jedenfalls zu einer Beschwerde, hat ein Unternehmen 45 Tage Zeit, darauf zu reagieren, wenn sich EU-Bürger an eine staatliche Stelle wenden, muss diese ihnen innerhalb von 90 Tagen antworten. Weiters soll es jährlich einen Datenschutzgipfel geben, auf dem sich neben Interessenvertretern auch die Zivilgesellschaft informieren können soll.

Der Wiener Jurist Max Schrems, der maßgeblich für den Fall von “Safe Harbor” im Vorjahr verantwortlich ist, hält “Privacy Shield” für nicht gut genug, um EU-Datenschutzregeln einzuhalten, sondern sieht lediglich “kosmetische Verbesserungen”. Er selbst und andere würden gegen die Entscheidung vorgehen, am Dienstag morgen war der Datenschützer bereits auf dem Weg nach Brüssel.

Springe zu:

Be smart and nice ;)

Ganzen Artikel lesen

More Stories