Safe Harbor ist Vergangenheit, der EU-US Privacy Shield soll die Zukunft sein. Es könnte eine düstere werden. Am vergangenen Dienstag verkündeten die EU-Kommission und die US-Regierung, dass sie sich auf neue Regeln für den Datentransfer von der EU in die USA geeinigt hätten. Allerdings haben sie noch nichts Schriftliches vorweisen können. Dem nach, was bisher bekannt geworden ist, muss man befürchten, dass die EU-Kommission in wichtigen Punkten nachgegeben hat, nur um ein wenig Zeit zu gewinnen.

Mitte bis Ende Februar soll aber der endgültige Text für die neuen Regeln stehen. Das schrieb die EU-Justizkommissarin Věra Jourová am Montag auf Twitter.

Der sichere Hafen

Plötzlich muss alles ganz schnell gehen. Dabei verhandeln die EU-Kommission und die USA schon seit den Snowden-Enthüllungen über ein neues Datenschutzabkommen. Bis zu einer Einigung sollte eigentlich Safe Harbor gelten.

Safe Harbor war eine sogenannte Adäquanzentscheidung der EU-Kommission, also ein unilateraler Beschluss, der seit dem Jahr 2000 regelte, unter welchen Umständen ein Unternehmen personenbezogene Daten in die USA übertragen darf. Unternehmen traten dem "sicheren Hafen" bei, indem sie bestimmte Datenschutzverpflichtungen eingingen.

Offizielle und inoffizielle Fristen

Die rechtliche Grundlage schien also gesichert. Bis der Europäische Gerichtshof (EuGH) kam und im Oktober Safe Harbor für ungültig erklärte. Die Befugnisse der US-Behörden zum generellen Zugriff auf Daten von EU-Bürgern sowie das Fehlen jeglicher juristischer Möglichkeiten zur Gegenwehr verletzten "den Wesensgehalt" der EU-Grundrechtecharta, urteilten die Richter.

Doch die Verhandlungen für ein neues Datenschutzabkommen waren noch nicht abgeschlossen. Die europäischen Datenschutzbeauftragten setzten als Reaktion der Kommission und der US-Regierung daraufhin eine Frist: Sie sollten bis zum 31. Januar eine Lösung finden, sonst drohe im Extremfall ein Verbot von Datenübertragungen in die USA. Das war die offizielle Deadline. Die inoffizielle Deadline war der dritte Februar. Dann wollten die europäischen Datenschützer ihr weiteres Vorgehen bekannt geben.

Wichtige Fragen ohne Lösung

Wichtige Punkte aber waren Ende Januar noch ungeklärt. Zum Beispiel die zentrale Frage, welche US-Behörden unter welchen Umständen Zugriff auf welche personenbezogenen Daten von EU-Bürgern haben und wie diese Zugriffe beschränkt werden. Ebenfalls offen war die Frage, wie die USA garantieren könnten, dass Beschwerden von EU-Bürgern bearbeitet werden. Die EU-Kommission braucht darauf aber Antworten, denn sie will unbedingt sichergehen, dass der EuGH die neue Regelung nicht gleich wieder kassiert.

Die Kommission wollte nichts unterschreiben, das "vom Gericht zerquetscht werden kann", heißt in einem Protokoll des EU-Parlaments, dessen Vertreter sich am ersten Februar von EU-Justizkommissarin Jourová über den Stand der Verhandlungen unterrichten ließen. Die Verhandlungen stünden kurz vor dem Abschluss, heißt es darin auch, aber man sei "noch nicht ganz da". Das war wohl eine heftige Untertreibung, denn das "nicht ganz" bestand aus den eigentlichen Knackpunkten, die der EuGH in seinem Urteil angesprochen hatte.

Wie kam es also in letzter Sekunde doch noch zur Einigung? Ein Anruf mitten in der Nacht soll sie letztlich bewirkt haben. Das berichtet die Journalistin Zoya Sheftalovich, die für Politico mit zehn Beteiligten gesprochen hat.