Safe Harbor und Privacy Shield

Andreas Gauger im Interview zu den Inhalten des neuen Abkommens

Im Oktober erklärte der Europäische Gerichtshof das Safe-Habor-Abkommen zwischen der EU und den USA für ungültig. Mit diesem Urteil fehlt nun dem transatlantischen Austausch personenbezogener Daten die Rechtsgrundlage. Gegenwärtig haben sich die Verhandlungspartner auf ein Nachfolgeabkommen mit dem Namen „EU US Privacy Shield“ geeinigt, welches jedoch vom ersten Tag an auf heftige Kritik gestoßen ist. Im folgenden Interview erläutert Andreas Gauger Details und Hintergründe zum Nachfolgeabkommen Privacy Shield.

Spätestens seit letztem Oktober beschäftigen sich nahezu alle deutschen Unternehmen, die in einer Art Geschäftsbeziehung mit amerikanischen Unternehmen stehen, mit dem Safe-Harbor-Abkommen und dessen Nachfolger Privacy Shield. Haben die Entwicklungen der letzten Monate Ihrer Meinung nach etwas zu Verbesserungen im Datenschutz beigetragen?

Ja und nein. Zunächst ist es ein großer Erfolg all derer, die sich um echten Datenschutz bemühen, dass das Safe-Harbor-Abkommen unter den Augen einer breiten Öffentlichkeit außer Kraft gesetzt wurde. Die Vereinbarungen regelten bis dato die Übertragung und Verarbeitung personenbezogener Daten zwischen europäischen und amerikanischen Geschäftspartnern. Anders als der Name vermuten lässt, war das Vorgehen auf dieser Basis keineswegs sicher, denn Safe Harbor entsprach weder den deutschen noch den europäischen Datenschutzregelungen, noch brachte es effektiven Rechtsschutz mit sich und räumte den US-Behörden umfangreiche Befugnisse ein. Doch was die EU-Kommission nun als sogenanntes „Privacy Shield“ als Nachfolgeabkommen mit der US-Regierung vorgelegt hat, ist eine ähnliche, wenn nicht noch größere Enttäuschung.
 

Welche wichtigen Änderungen enthält das Privacy-Shield-Abkommen gegenüber seinem Vorgänger Safe Harbor?

Im Prinzip sind es vier Hauptpunkte, mit denen das „Privacy Shield“ den Datenaustausch auf sicherere Füße stellen sollen: Das US-Handelsministerium will die amerikanischen Dienstleistungsunternehmen überwachen, die Daten ihrer europäischen Geschäftspartner verarbeiten. Die US-Justiz- und Sicherheitsbehörden sollen dies beaufsichtigen. Verstößt ein Dienstleister gegen die vereinbarten Standards, drohen Sanktionen. Zudem hat die US-Regierung zugesichert, einen Ombudsmann einzusetzen, an den sich europäische Unternehmen im Falle einer Beschwerde richten können. Ob das Abkommen von beiden Seiten eingehalten wird, soll ein jährlicher Bericht dokumentieren. Weitere Details werden derzeit ausformuliert. Darin stecken viele Absichtserklärungen und wenig konkrete Sanktionsmöglichkeiten. Zudem besitzen US-Institutionen im Wesentlichen die Deutungshoheit.
 


Andreas Gauger startete sein erstes
Softwareunternehmen direkt nach dem Abitur.
Parallel dazu gründete er 1995 die erste
deutsche Webhosting-Firma mit.
Er verantwortete bis 2008 die gesamte
1&1 Webhosting-Produktpalette. Ebenfalls war
Andreas Gauger verantwortlich für die
Internationalisierung der 1&1 Webhosting-
Produktlinie. Andreas Gauger ist Gründer
und CMO von ProfitBricks.

Die Kritik an der neuen Vereinbarung war vor allem seitens der Datenschützer heftig. Warum?

Die Aufsicht über die Arbeit des US-Handelsministeriums wird den US-Behörden überlassen. So überprüfen sich die, die wir für ihre zu lockeren Datenschutzbestimmungen kritisieren, praktisch selbst. Ich bin skeptisch, ob das Verbesserungen in der Zusammenarbeit bringt. Zumal sich die US-Regierung Ausnahmen im Rahmen der nationalen Sicherheit der USA ausdrücklich vorbehalten hat. Was diese Ausnahmen sein sollen, darauf legt man sich allerdings ungern fest. Vielmehr wurden Themenfelder definiert, die Raum für Interpretationen lassen. US-Dienstleister wären in solchen Fällen übrigens weiterhin verpflichtet, die angefragten Daten herauszugeben, ganz egal, an welchem Ort der Welt das Rechenzentrum steht.

Darüber hinaus halte ich es für schwer umsetzbar – um nicht zu sagen wirkungslos – wenn sich Unternehmen bei einem von der US-Regierung eingesetzten Ombudsmann beschweren. Ich behaupte, dessen Kooperationsbereitschaft wird sich in Grenzen halten. Auch hier wird die Entscheidung darüber, ob ein Verstoß gegen das Datenschutzabkommen vorliegt, den US-Behörden überlassen. Effektiver Rechtsschutz für Betroffene aus der EU wäre nicht gewährleistet. Das war bereits einer der Hautkritikpunkte des EuGH an „Safe Harbor“. Unternehmen bräuchten hier mehr Unterstützung von offizieller europäischer Seite.
 

Das klingt nicht danach, als hätten die US-Regierung und die EU-Kommission auf Augenhöhe verhandelt. Sehen die Offiziellen die Kritikpunkte nicht?

Das ist das Paradoxe. Es gibt sehr wohl auch Kritik aus den Reihen der europäischen Verhandlungspartner. So schrieb beispielsweise die derzeitige Ombudsfrau der EU, Emily O’Reilly, einen offenen Brief [1] an die mit dem Privacy Shield betraute EU-Kommissarin Vera Jourová. Darin weist sie auf den Widerspruch hin, dass ein von der US-Regierung eingesetzter Ombudsmann kaum als unabhängige Instanz gelten kann.

Ansonsten prüft derzeit die sogenannte Artikel-29-Datenschutzgruppe [2] der EU die Dokumente. Ihr gehören Experten aus allen Mitgliedsstaaten an. Die Gruppe hat vor allem eine beratende Funktion und gilt als weitgehend unabhängig. Von ihrem Urteil, welches noch im April veröffentlicht werden könnte, hängt einiges ab. Gut möglich, dass die Datenschutzexperten bereits jetzt Nachbesserungen anmahnen.
 

Ist das Abkommen bereits rechtskräftig?

Nein. Derzeit wird noch an den konkreten Formulierungen gearbeitet, das Urteil der Artikel-29-Datenschutzgruppe steht noch aus und dann müssen die EU-Kommission sowie die EU-Mitgliedsstaaten dem noch zustimmen. Auf einen offiziellen, komplizierten Gesetzgebungsprozess soll verzichtet werden – offenbar sind die Verhandlungspartner gewillt, wieder etwas Ruhe in das Thema zu bekommen. Viele Datenschützer sehen außerdem das Risiko, dass der Europäische Gerichtshof im Falle einer Klage erneut kein positives Urteil fällt. 
 

Der Safe-Harbor-Nachfolger hat demnach kaum zu einer eindeutigen Rechtslage beigetragen?

Das Privacy-Shield-Abkommen hat eher zu noch mehr Verunsicherung geführt, anstatt klare Verhältnisse zu schaffen. Unternehmen können es sich jedoch nicht leisten, auf der Basis von rechtlichen Unsicherheiten zu arbeiten und dabei sowohl Bußgeldzahlungen als auch das Vertrauen ihrer Kunden aufs Spiel zu setzen.
 

Welche Sanktionen drohen Unternehmen, die sich bei ihrer Zusammenarbeit mit ihren amerikanischen Geschäftspartnern auf Safe Harbor beziehen? Besteht überhaupt das Risiko, von offizieller Seite daraufhin überprüft zu werden?

Ja, das Risiko besteht durchaus. Einige auf Bundeslandebene zuständige Datenschutzbehörden haben angedeutet, die personenbezogene Datenverarbeitung der ortsansässigen Unternehmen entsprechend zu prüfen. Da die Rechtgrundlage aber nicht eindeutig ist, sehen die Behörden derzeit noch von flächendeckenden Kontrollen ab. Das kann sich natürlich jeden Tag ändern. Haben Unternehmen ihre Datentransfers nur an Safe Harbor ausgerichtet, drohen beträchtliche Bußgelder. Theoretisch können solche Vergehen mit bis zu 300 000 Euro Strafe belegt werden.
 

Was können und was sollten Unternehmen jetzt konkret tun, um ihren personenbezogenen Datenverkehr auf eine sichere Basis zu stellen?

Das Mindeste, was die deutschen Datenschutzbehörden derzeit von den Unternehmen verlangen, ist eine Bestandsaufnahme und eine kritische Beurteilung des eigenen transatlantischen Datenverkehrs. Insofern ist die Situation natürlich auch eine Chance, Datentransfer- und Datenverarbeitungsprozesse grundsätzlich zu hinterfragen. Es besteht die Möglichkeit, Zusatzvereinbarungen mit den Dienstleistern abzuschließen. Jedoch geht es viel einfacher: Eindeutig ist die Rechtslage dann, wenn Unternehmen und Dienstleister denselben Datenschutzbedingungen unterliegen, also beispielsweise beide ihren Hauptsitz in Deutschland haben. Die Beauftragung amerikanischer Dienstleister ist oft gar nicht notwendig und häufig auch teurer.
 

Vielen Dank für das Gespräch.

 

 

Literatur:

[1] Brief der derzeitigen Ombudsfrau der EU, Emily O’Reilly an die mit dem Privacy Shield betraute EU-Kommissarin Vera Jourová „Use of the title ‚ombudsman‘ in the ‚EU-US Privacy Shield‘ agreement“
http://www.ombudsman.europa.eu/en/resources/otherdocument.faces/en/64157....
[2] Die Artikel-29-Datenschutzgruppe ist offiziell vom Europäischen Parlament beauftragt, sich mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr zu beschäftigen.
http://ec.europa.eu/justice/data-protection/article-29/index_de.htm.