Die Europäische Kommission hat das „Privacy Shield“ verabschiedet, das den Datenverkehr zwischen den USA und Europa regeln soll. Wie beurteilen Sie das „Privacy Shield“?
Der Bürokratieabbau durch Abkommen wie „Privacy Shield“ ist natürlich unterstützenswert. Gerade für kleine und mittlere Unternehmen entfallen so rechtliche Risiken, aber auch Kosten z. B. bei Vertragsgestaltungen und Überprüfungsverfahren, wenn sie Daten europäischer Bürger in die USA übertragen möchten. Der Europäische Gerichtshof hat den Vorläufer des „Privacy Shield“, „Safe Harbor“ richtigerweise gekippt. Die dort getroffenen Regelungen waren nicht ausreichend, um amerikanische Unternehmen an die hohen europäischen Anforderungen im Bereich Datenschutz zu binden.
Ob „Privacy Shield“ nun diesen Ansprüchen gerecht wird, halte ich für fraglich. In der amerikanischen IT Wirtschaft hat sich durchgesetzt, dass ein schwaches Datenschutzrecht von Vorteil ist, vor allem für persönliche Daten von Nicht-US-Bürgern. Dies spiegelt sich im amerikanischen Datenschutzrecht wieder, welches bis heute ungleich schwächer als das europäische ist. Trotz des „Privacy Shields“ haben US Behörden weiterhin relativ einfach Zugriff auf europäische Daten.
Ich persönlich bin der Meinung, dass Datenschutz eine wichtige Rolle für eine freiheitliche Gesellschaft spielt, auch wenn dadurch höhere Kosten und ein zusätzlicher Aufwand für die IT Wirtschaft entstehen. Wichtig ist dann jedoch, dass für alle die gleichen Spielregeln gelten um einen freien und fairen Wettbewerb zu garantieren. „Privacy Shield“ öffnet aber nur den Markt für Akteure, die sich nicht an die gleichen Regeln halten müssen wie europäische Unternehmen. Dies ist kein Schritt Richtung fairem Wettbewerb.
Gut für Datenschutz und Wettbewerb ist, dass „Privacy Shield“ und die tatsächliche Umsetzung alle 12 Monate durch die EU überprüft wird. Schlecht für europäische Unternehmen ist, dass dadurch immer nur 12 Monate Rechtssicherheit besteht. Meines Erachtens ist die beste Lösung einfach auf deutsche bzw. europäische Dienstleister zurückzugreifen, anstatt die Daten von EU-Bürgern in die USA zu übermitteln.
Im Rahmen des neuen Datenschutzabkommens sollen amerikanische Behörden nur in „engen Grenzen“ einen Datenzugriff erhalten. Wo liegen diese? Oder wo sollten sie liegen?
Diese Grenzen haben sich die amerikanischen Behörden selbst gesetzt. In einem Schreiben, das Teil des „Privacy Shield“ Abkommens ist, verpflichten sie sich, zumindest auf die massenhafte Sammlung von Daten zu verzichten. Es soll vorgezogen werden, nur einzelne Datensätze abzufangen oder einzelne Personen abzuhören. Aber selbst dafür gibt es Ausnahmen: Wird beispielsweise ein Fall von Spionage oder Terrorismus vermutet, können auch die Daten von europäischen Unternehmen und Verbrauchern massenhaft von amerikanischen Behörden gesammelt werden.
Kritiker beklagen, dass Europäer kaum etwas gegen die Verarbeitung ihrer Daten durch US-Firmen tun können. Welche Möglichkeiten hat der europäische Nutzer mit dem „Privacy Shield“, um gegen den Missbrauch seiner Daten vorzugehen?
Es gibt zwei Möglichkeiten. Vermute ich einen Missbrauch durch amerikanische Behörden oder Unternehmen, so habe ich die Möglichkeit, den sogenannten Ombudsmann der Internationale Handelskommission der USA anrufen. Dieser soll dann weitere Informationen zum Beschwerdefall einholen.
Unternehmen kann ich aber auch direkt kontaktieren, wenn ich Zweifel an der berechtigten Nutzung meiner Daten habe. Innerhalb von 45 Tagen müssen diese dann dazu Stellung nehmen. Sicherlich ist es eine gute Neuerung, dass im Streitfall Schiedsgerichte zur Klärung beitragen, ohne dass für die EU Bürger Kosten entstehen.
Dies alles hilft aber nichts, wenn eine amerikanische Sicherheitsbehörde entscheidet z. B. aus Gründen der nationalen Sicherheit erst gar keine Auskunft zu erteilen. Unternehmen wie auch Verbraucher haben in diesem Fall keine Möglichkeit gegen die Nutzung der eigenen Daten vorzugehen.
In einem Jahr soll das „Privacy Shield“ planmäßig überprüft werden. Was muss aus Ihrer Sicht noch in ein endgültiges Abkommen einfließen? Bzw. ggf. was geht zu weit?
Datenschutzrechtliche Bedenken, gerade im Bereich der Nutzung durch amerikanische Dienste und Behörden, müssen stärker berücksichtigt werden. Nur dadurch kann ein Abkommen geschaffen werden, dass sicher einer Prüfung durch den Europäischen Gerichtshof stand hält und nicht potentiell alle 12 Monate gekippt werden kann.
Ein Abkommen das auf so wackligen Beinen steht, schafft bei Unternehmen und Verbrauchern nur Unsicherheit und ist aus unternehmerischer Sicht keine vernünftige Grundlage, um Daten in die USA zu übertragen und sich an amerikanische Dienstleister zu binden.
Abschließend gilt: Was anderen unserer Märkte öffnet, sollte sie auch den gleichen Regeln unterwerfen. Ein Datenschutzabkommen muss in der Zukunft amerikanische Unternehmen dazu verpflichten die gleichen Vorgaben im Umgang mit Daten einzuhalten, die auch für europäische gelten. Dies stärkt Wettbewerb und unseren grundrechtlich verankerten Datenschutz gleichermaßen.