Safe Harbor 2.0

Datenschützer sprechen von “Bullshitbingo”, “Witz”, “Mogelpackung” und “Augenwischerei”, Edward Snowden sagt, er “hätte noch nie eine politische Übereinkunft gesehen, die so stark kritisiert wurde.“ Die Rede ist von Safe Harbor 2.0, oder “EU-US Privacy Shield”, womit eine Lösung für das vom EuGH Anfang Oktober letzten Jahres gekippte Safe Harbor Abkommen geschaffen werden soll. Die Wirtschaft drängt. Und was steckt dahinter?

Am 31. Januar ist für Unternehmen, die auf Basis des Safe Harbor Abkommens Daten in die USA transferieren, eine Schonfrist abgelaufen, die durch die europäischen Datenschutzbeauftragten eingeräumt wurde, nachdem der EuGH Safe Harbor Anfang Oktober gekippt hatte. Am 02. Februar verkündet EU-Justizkommissarin Vera Jourova über Twitter, die EU und die USA hätten sich auf neue Regeln zum Datenaustausch geeinigt, wozu die USA der EU erstmals „verbindlich“ zugesagt hätten, dass den Strafverfolgungsbehörden und Geheimdiensten beim Zugriff auf europäische Daten „klare Grenzen“ gesetzt würden.

Details ergehen aus Angaben von EU-Mitarbeitern. Demnach  sei nun geplant, dass das US-Handelsministerium Firmen überwacht, die Informationen aus Europa verarbeiten. Unternehmen, die sich nicht an die Vereinbarungen halten, drohen Sanktionen und Bürger der EU, die ihre Datenschutzrechte in den USA verletzt sehen, können sich an einen Ombudsmann wenden, der unabhängig von den US – Geheimdiensten sein soll.

Es gibt aber noch keine schriftliche Vereinbarung. Bis Ende Februar soll diese formuliert sein, Ende März tagen dann wieder die Datenschutzbeauftragten der Art. 29 Gruppe. Und weil es eine Vereinbarung geben wird, ist die Deadline der Datenschützer vorerst ausgesetzt.

Nun, es gibt Stimmen, die sagen TTIP wäre nur ein anderes Wort für amerikanische Vorherrschaft. Diese Stimmen dürften auch hier Geltung erlangen, wenn man die Reichweite der von EU-Kommissarin Jourova angedeuteten Vereinbarung zu beschreiben versucht. Wer den Patroit Act kennt, wird sicherlich nicht unberechtigt sagen, die “Einigung” der EU mit den USA würde übersehen, dass amerikanische Unternehmen an den Patroit – Act gebunden sind und jede noch so wortgewaltige Darstellung in den Verhandlungen mit der EU immer mit der Frage enden wird, was ein US-Unternehmen macht, wenn der Staatsanwalt mit einem Beschluss basierend auf nationalem US-Recht in den USA auf der Matte steht. Europa ist weit weg für Amerikaner, vor allem, wenn es darum geht, nationale Interessen zu wahren. Deshalb ist es keinem amerikanischen Unternehmer übel zu nehmen, wenn er vor dem Hintergrund von Strafandrohung die Datenbestände europäischer Bürger zugänglich macht. Und so sieht es auch Datenschutzaktivist Max Schrems, der das EuGH-Urteil zum Thema „Safe Harbor“ erstritten hatte. Die EU verließe sich auf schriftliche Zusagen der USA, die keine Gesetze sind…

Was heißt das nun für Unternehmen in Europa?
Wer immer noch nicht die Finger von Safe Harbor-gestützten Transfers lassen kann, der bekommt noch eine Galgenfrist und wer darauf baut, dass der “EU-US Privacy Shield” ein brauchbarer Ersatz für Safe Harbor wird, sollte vorsichtig sein. Solange die USA ihre nationale Gesetzgebung nicht ändern, – die US-Behörden den Zugriff auf Unternehmensdaten aus Gründen der nationalen Sicherheit erlaubt und sogar die gesetzlichen Vertreter dieser Unternehmen unter Strafandrohung verpflichtet, diese Zugriffe unter Verschwiegenheit zu halten – wird es keine US-EU Vereinbarungen geben, die den Anforderungen des EuGH gerecht werden. Es ist also ein Spiel auf Zeit. Zeit, die für eine Umstellung der Transfers mindestens auf die Standardklauseln genutzt werden sollte, auch wenn selbst diese bei Würdigung des EuGH Urteilstenors nicht geeignet sind, die Rechte von EU-Bürger gegenüber den Amerikanern zu schützen.