Streit um "Privacy Shield" Unser europäischer Daten-Schutzschild hat Löcher

Mit dem "Privacy Shield" will die EU die Daten ihrer Bürger vor dem US-Spähapparat schützen. Zur ersten jährlichen Überprüfung flammt Streit auf. Kritiker haben ernste Zweifel an der Praxistauglichkeit des Schirms.
Foto: imago/ Ikon Images

Ein paar Klicks im Internet machen jeden Deutschen zum Weltbürger. Ein E-Mail-Konto bei Google, eine Hotelbuchung per Kreditkarte, eine Anmeldung in einem sozialen Netzwerk: Schon sind Nutzerdaten in die ganze Welt verstreut und landen häufig bei großen Tech-Firmen in den USA.

Wie diese Unternehmen Daten von Deutschen und anderen EU-Bürgern verarbeiten dürfen, regelt seit gut einem Jahr ein neuer, transatlantischer Datenpakt namens "Privacy Shield". Zur ersten jährlichen Bestandsaufnahme  der EU-Kommission zeigt sich: Der Schirm ist noch genauso umstritten wie bei seiner Einführung - und wird durch die Präsidentschaft Donald Trumps auf einen neuen Härtetest gestellt.

Der Privatsphäre-Schutzschirm soll sicherstellen, dass für Daten von EU-Bürgern in den USA ein ähnliches Schutzniveau gilt wie in der EU:

  • Die Daten sollen sicher sein vor ausufernder Massenüberwachung durch US-Behörden wie dem Geheimdienst NSA.
  • Für Beschwerden von Europäern wurde die Stelle einer Ombudsperson im US-Außenministerium etabliert. An sie sollen sich Bürger direkt wenden können.
  • Personenbezogene Daten von EU-Bürgern dürfen laut der Regeln nicht auf unbestimmte Zeit von einem Unternehmen gespeichert werden. Genaue Fristen gibt es aber nicht.

Mittlerweile haben sich laut EU 2400 Firmen für den neuen Schutzschirm zertifiziert, denn auf irgendeine rechtliche Regelung für den Datenfluss von Europa in die USA müssen sich international tätige Firmen berufen. Als Alternative bieten sich sonst nur sogenannte Standardvertragsklauseln an.

Auf der Liste der zertifizierten Firmen  finden sich auch etliche große Tech-Konzerne wie Amazon, Google, Tesla und Facebook. Auch wenn viele Deutsche von dem Schirm bisher wenig gehört haben: Im Hintergrund entwickelt er sich zu einer der wichtigsten Datenschutzregelungen.

EU-Kommissarin Jourová: erste Überprüfung "besonders relevant"

Doch der neue US-Präsident Trump ließ sich nur wenige Tage Zeit, um einen ersten Angriff auf den Schirm zu starten: Kurz nach Amtsantritt versuchte er im Januar per Dekret  , den Datenschutz für Nichtamerikaner aufzuheben. Ein Jahr nach dem Inkrafttreten des Schirms war zudem von US-Seite noch immer keine Ombudsperson ernannt.

Zur Veröffentlichung des EU-Berichts Mitte Oktober war die Stelle lediglich provisorisch durch Judith Garber besetzt, die sie geschäftsführend ausübte. Wie auch an anderer Stelle schafft es Trump nicht, relevante Posten im Mittelbau des Regierungsapparats zu besetzen.

Die Bedeutung der Ombudsperson war von der EU-Kommission immer wieder hervorgehoben worden. Die offene Personalie ärgerte die Kommission offenbar so, dass sie diese auch im ansonsten positiv gehaltenen Prüfbericht adressierte: "Die Ombudsperson sollte so schnell wie möglich ernannt werden", mahnt die Kommission darin. Die USA müssten zeigen, dass sie sich dem Schutzschirm verpflichtet fühlen.

Die verantwortliche EU-Justizkommissarin Vera Jourová zeigte sich auf SPIEGEL-Anfrage dennoch zufrieden. "Der Regierungswechsel in den USA hat diese erste Überprüfung besonders relevant gemacht", sagt Jourová. Trotz anfänglicher Bedenken glaube sie mittlerweile aber, die USA nähmen die Sorgen der Europäer ernst.

"Wir tun zu wenig, unsere Ansprüche durchzusetzen"

Kritiker des Schirms sehen das anders, Max Schrems zum Beispiel. Der Österreicher hatte sich bis zum Europäischen Gerichtshof (EuGH) geklagt, weil er glaubte, dass die Daten von EU-Bürgern in Amerika nicht ausreichend vor dem Zugriff der US-Geheimdienste wie der NSA geschützt seien. Der EuGH gab ihm 2015 in einem Aufsehen erregenden Urteil recht und kippte die Vorgängerregelung namens "Safe Harbor". Erst dadurch wurde das neue "Privacy Shield"-Rahmenwerk nötig.

Kritiker Max Schrems hält den Schirm für untauglich, die Rechte von EU-Bürgern in den USA zu schützen. "Die Überwachung in den USA ist genauso schlimm wie vorher, es hat sich für EU-Bürger nichts geändert. Und der EuGH hat gesagt, das geht so nicht", sagt der Österreicher. "Wir in der EU halten fröhlich unser Grundrechtsfähnchen hoch, aber wir tun zu wenig, unsere Ansprüche durchzusetzen."

Schrems rechnet damit, dass die Vereinbarung vom EuGH gekippt wird, sollte es eine Klage geben, die es bis vor den EuGH schafft. "Das Ding ist wahrscheinlich illegal", sagt er über den Schutzschirm. Er selbst möchte aber nicht noch mal ein Verfahren anstoßen.

Kritik kommt auch vom Europaabgeordneten Jan Philipp Albrecht (Grüne). "Es ist jetzt nach dem ersten Jahr klar, dass der 'Privacy Shield' den Anforderungen des EuGH-Urteils nicht genügt", sagt Albrecht. Die Situation sei "nicht zufriedenstellend".

Trotz des "Privacy Shields" gebe es nur unzureichende Möglichkeiten für EU-Bürger, ihre Rechte in den USA durchzusetzen. Bis die US-Handelsaufsicht tatsächlich gegen eine amerikanische Firma vorgehe, müsste der einzelne Internetnutzer einen rechtlichen Kleinkrieg in den USA durchfechten.

EU-Datenschützer arbeiten an eigenem Bericht

Auch die EU-Datenschützer könnten die jährliche Überprüfung als Hebel nutzen, um Druck auf die EU-Kommission aufzubauen: Deutschlands oberste Datenschützerin Andrea Voßhoff und ihre europäischen Kollegen sind über die sogenannte Artikel-29-Datenschutzgruppe am ersten Schutzschirm-Check beteiligt gewesen - und arbeiten derzeit an einem eigenen Bericht.

Der könnte deutlich kritischer ausfallen als das Kommissionsdokument. Zwar waren zwei deutsche Vertreter beim transatlantischen Treffen in Washington anwesend. Am Kommissionsbericht sei man dennoch "nur in Bezug auf die faktischen Grundlagen beteiligt" gewesen, distanziert sich Voßhoff. "Die Schlussfolgerungen in diesem Bericht wurden ohne die Datenschutzbehörden erarbeitet und geben ausschließlich die Auffassung der Kommission wieder."

Ende November soll der Bericht der Datenschützer fertig sein, bindende Wirkung hat das Wort der EU-Datenschützer jedoch nicht. Unter Trump werden die Europäer ohnehin wohl kaum Nachbesserungen durchsetzen können.

Und Ende des Jahres wartet schon die nächste große Bewährungsprobe für den Schirm. Der US-Kongress muss über auslaufende Gesetze zur Massenüberwachung entscheiden, es geht um den sogenannten Foreign Intelligence Surveillance Act (FISA). Daten von EU-Bürgern könnten besser geschützt werden - die Rechtslage könnte sich aber auch verschlechtern.

EU-Kommissarin Jourová will eine Aushöhlung des Schutzschirms nicht dulden. Sie sagt: "Ich habe meine US-Kollegen informiert, dass ich im Falle einer Verschlechterung der relevanten Gesetze nicht zögern werde, dem 'Privacy Shield' den Stecker zu ziehen."


Zusammengefasst: Der transatlantische Datenpakt "Privacy Shield" regelt seit einem Jahr, welche Regeln für die Daten von EU-Bürgern in den USA gelten. Große Tech-Firmen wie Amazon, Google oder Facebook berufen sich mittlerweile auf das Regelwerk, die EU-Kommission sieht es als Erfolg. Doch Kritiker halten den Schutz für löchrig. Auch die Präsidentschaft Trumps könnte noch zum ernsten Problem für das Regelwerk werden.