EU-Datenschützer fordern mehr Details zu Privacy Shield

Die Artikel-29-Datenschutzgruppe (WP29) hat weitere Details zu dem zwischen der EU-Kommission und den USA vereinbarten neuen Abkommen zum transatlantischen Datenaustausch gefordert. Sie will nach eigenen Angaben prüfen, ob die Vereinbarung, die als Schrems-Urteil bezeichneten Bedenken des Europäischen Gerichtshofs berücksichtigt, der das Safe-Harbor-Abkommen im Oktober 2015 gekippt hatte.

Die EU-Kommission forderten die Datenschützer der EU-Mitgliedstaaten auf, alle Dokumente betreffend der neuen Privacy Shield genannten Vereinbarungen bis spätestens Ende Februar vorzulegen. Die Datenschutzgruppe will sie anschließend prüfen und bei einem außerordentlichen Treffen in den kommenden Wochen eine eigene Einschätzung zur Rechtmäßigkeit von Privacy Shield abgeben.

„Danach wird die WP29 prüfen, ob Übertragungsmechanismen wie Standardvertragsklauseln oder bindende Unternehmensregeln weiterhin für die Übertragung persönlicher Daten in die USA benutzt werden können“, heißt es in der Stellungnahme der Datenschützer (PDF). „Bis dahin nimmt die WP29 an, dass das für die vorhandenen Übertragungsmechanismen gilt.“

Die Datenschutzgruppe stellt nach eigenen Angaben vier Bedingungen, die Privacy Shield ihrer Ansicht nach erfüllen muss, um EU-Recht zu entsprechen. Jegliche Datenverarbeitung muss auf klaren, präzisen und transparenten Regeln beruhen. „Das bedeutet, dass jeder, der angemessen informiert ist, in der Lage sein sollte abzusehen, wohin seine/ihre Daten übertragen werden und was mit ihnen passiert.“

Zudem fordern die Datenschützer eine Abwägung zwischen persönlichen Rechten und den Zielen einer behördlichen Datenabfrage auch dann, wenn es um die nationale Sicherheit geht. Kontrollmechanismen sollten unabhängig und unparteiisch sein. Diese Aufgabe will die WP29 generell an einen Richter oder ein andere unabhängige Institution mit ausreichenden Befugnissen delegieren.

Jeder Nutzer soll außerdem die Möglichkeit erhalten, sich effektiv gegen Zugriffe von Behörden auf seine Daten zu wehren, und zwar vor einer unabhängigen Instanz. Dieser Punkt richtet sich möglicherweise gegen den derzeit geplanten Ombudsmann, der für Beschwerden über Abfragen zuständig ist, die unter die Nationale Sicherheit fallen. Für sie sieht Privacy Shield keine gerichtlichen Einspruchsverfahren vor. Zudem wird der Ombudsmann von der US-Regierung bestellt.

EU und USA hatten sich am Dienstag auf die Grundzüge eines Nachfolgers des Safe-Harbor-Abkommens geeinigt. Während die EU-Kommission überzeugt ist, dass die neue Regelung den Vorgaben des EuGH entspricht, äußerte unter anderem der österreichische Jurist Max Schrems, der mit seiner Klage gegen Facebook das Verfahren losgetreten hat, Zweifel. Er befürchtet, dass Privacy Shield nur den Weg für neue Klagen ebnet. „So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedstaaten war anscheinend größer“, wird er in einer Stellungnahme (PDF) zitiert. Für ein abschließendes Fazit sei es allerdings zu früh, da der Text des Abkommens noch nicht vorliege. „Ich bin nicht sicher, ob dieses System einer Überprüfung durch den EuGH standhält. Es wird sicherlich Leute geben, die das anfechten werden, abhängig vom endgültigen Text werde ich vielleicht einer davon sein.“

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.