Beinahe drei Wochen ist es her, dass es kein offizielles Datentransferabkommen zwischen der EU und den USA mehr gibt. Seit dem 1. Februar ist die Amnestie für Unternehmen, die auf Safe-Harbor-Basis Daten übermitteln, vorbei. Kurz nach Ende der Schonfrist vermeldete die EU-Kommission einen frenetisch gefeierten Verhandlungserfolg. "Zum allerersten Mal hat sich die USA bindend verpflichtet, das einzuhalten", jubelte EU-Justizkommissarin Věra Jourová über das US-Zugeständnis, dass es keine willkürliche Massenüberwachung von EU-Bürgern geben wird.

Mehr als Lippenbekenntnisse gibt es aktuell allerdings offenbar noch nicht. Den europäischen Datenschutzbehörden, die in Privacy Shield laut der ersten Verhandlungsergebnisse mehr Gewicht bekommen sollen, wurde noch kein Entwurf vorgelegt. Einzig Ankündigungen eines Ergebnisses der Verhandlungen gebe es, wie die Bundesbeauftragte für den Datenschutz Andrea Voßhoff gestern dem Ausschuss Digitale Agenda mitteilte. Und das sei unbefriedigend, so Voßhoff. Die Datenschutzbeauftragten seien lediglich mündlich darüber in Kenntnis gesetzt worden, dass Privacy Shield kommt. Bis Ende Februar soll aber ein erster Entwurf vorliegen. Das plant die EU-Kommission zumindest.

Besonders für Unternehmen unbefriedigend

Voßhoff zeigt sich vor den Abgeordneten noch skeptisch. Man müsse den Entwurf abwarten, um zu sehen, ob der Mangel an Rechtschutz bei staatlichen Eingriffen in personenbezogene Daten in der Neuregelung behoben wird. Auch müsse man die geplante Regelung zur Abstellung eines Ombudsmanns abwarten.

Besonders für Unternehmen, die auf einen Datentransfer mit den USA angewiesen sein, ist die Lage wenig erbaulich. Es gelte zwar immer noch eine Art Schonfrist für die Übermittlung bestimmter Daten, aber die könne nicht ewig bestehen bleiben, so Voßhoff. Außerdem hätte das EuGH-Urteil vom Oktober, das Safe Harbor für nicht mit EU-Recht vereinbar erklärte, noch auf anderes abgezielt. So müsse nun geprüft werden, wie sich das Urteil auf Standardvertragsdaten und alternative Formen des Datentransfers auswirke. Außerdem kann es auch eine Wirkung auf die Übermittlung von Daten in andere Drittstaaten haben. Als Lösung schlägt Voßhoff die Einführung internationaler Datenschutzstandards vor. Dass das jedoch mehr als mühsam ist, macht diese Lösung realistisch.

Überblick

Im Oktober hatte der EuGH in Luxemburg das Safe Harbor-Abkommen, das europäische Unternehmen als Grundlage der Datenübermittlung in die USA nutzten, für ungültig erklärt. Personenbezogene Daten europäischer Bürger seien nicht ausreichend vor dem Zugriff durch US-Behörden geschützt, so das Gericht.

Ausgangspunkt des Streits war die Klage des Österreichers Max Schrems, der den mangelnden Datenschutz bei Facebook kritisierte. US-Unternehmen seien verpflichtet, in Europa geltende Schutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit beziehungsweise des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig können EU-Bürger nicht die Löschung ihrer Daten verlangen, so der EuGH.