Einen Kommentar hinterlassen

Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus?

(Bild: dpa, Susan Walsh)

Gerade mal über eine Woche im Amt wirft US-Präsident Trump mit seinen Dekreten so einiges über den Haufen. Das Datenschutz-Abkommen Privacy Shield könnte dazu gehören, analysiert der ehemalige Bundesdatenschützer Peter Schaar.

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon werden womöglich zu den ersten Opfer der von Präsident Trump verfolgten “America First“- Politik gehören, denn sie übermitteln personenbezogene Daten aus Europa in die USA auf Basis des sogenannten “Privacy Shield”. Dabei handelt es sich um ein zwischen der Europäischen Kommission und der US-Regierung ausgehandeltes Abkommen zum Datenschutz.

Trump unterzeichnete am 25. Januar 2017 die Anordnung (Executive Order) zur “Verbesserung der öffentlichen Sicherheit“. Schon jetzt ist deutlich, dass die Politik der Trump-Administration einem gemeinsamen Datenschutz-Verständnis zwischen den USA und der EU diametral entgegen laufen.

Section 14 der Executive Order hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

(Übersetzung: „Die Behörden haben im Einklang mit dem anwendbaren Recht dafür zu sorgen, dass ihre Datenschutzrichtlinien Personen, die nicht Staatsangehörige der Vereinigten Staaten sind oder gesetzliche ständige Einwohner, vom Schutz des Privacy Act bezüglich ihrer personenbezogenen Daten ausschließen.“)

“Angemessenes Datenschutzniveau“?

Auch wenn sich diese Bestimmung vermutlich zunächst gegen die Millionen Personen richten soll, die sich ohne Papiere in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das erst im letzten Sommer ausgehandelte Abkommen gestattet es Unternehmen, welche sich zur Einhaltung der Privacy Shield Prinzipien verpflichten und dies im Rahmen einer Selbstzertifizierung nachweisen, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 die Existenz eines gleichwertigen Datenschutzes festgestellt (Angemessenheitsbeschluss). Der Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es den in Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete. Die Kommissionsentscheidung erfolgte auf Basis des US-Rechts und der Zusicherungen der Obama-Administration.

Diese Zusicherungen umfassten ein Bekenntnis zu den in der Presidential Policy Directive 28 (PPD-28) vom 17. Januar 2014 enthaltenen Beschränkungen der Auslandsüberwachung und die Auslegung des US-Rechts in der Weise, dass die Datenschutzbestimmungen – soweit rechtlich zulässig – auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

“Privilegierung“ der Bürger anderer Staaten zurückgenommen?

Eine wichtige Basis des Angemessenheitsbesachlusses bildete auch der vom US-Kongress im Februar 2016 endgültig gebilligte Judicial Redress Act 2015 (JRA), der es prinzipiell ermöglicht, dass sich „Non-American Persons“, also auch EU-Bürgerinnen und Bürger, an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten. Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig.

Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst. Die oben zitierte Executive Order könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

EU-Kommission muss handeln

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen von US-Präsident Obama in der PPD-28 angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Auch wenn dies noch nicht geschehen ist, warnen schon jetzt maßgebliche Vertreter der US-Politik und -Wirtschaft, darunter auch republikanische Kongressmitglieder, vor einem solchen Schritt, denn spätestens damit würden die US-Zusicherungen, darunter die Erklärung des US-Geheimdienstkoordinators im Rahmen der Privacy Shield-Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für den Angemessenheitsbeschluss zum Privacy Shield noch gegeben sind, nicht erst bis zur regulären, für Sommer 2017 vorgesehenen Review des Privacy Shield warten. Das heutige Statement von EU-Justizkommissarin Vera Jourova beim Treffen der EU-Justizminister in Malta deutet darauf hin, dass sich die Kommission des Ernstes der Lage durchaus bewusst ist. Das Abkommen “beruhte weitgehend auf dem Vertrauen, das wir in die amerikanischen Partner hatten, zur Obama-Regierung”, sagte Jourova. “Dieses Vertrauen muss andauern oder erneuert werden.”

Aber auch die Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende Feststellung der Kommission zu warten.

https://heise.de/-3609712

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Protected with IP Blacklist CloudIP Blacklist Cloud