Privacy Shield soll die künftige rechtliche Grundlage für einen Datentransfer von der EU in die USA heißen. © Karen Bleier/AFP/Getty Images

Noch bevor der Name des Safe-Harbor-Nachfolgers bekannt wurde, hatten Bürgerrechtler, die mit dem Schlimmsten rechneten, einen angemessen maritim klingenden Vorschlag: Pirate Bay. Auf den Sicheren Hafen, den der Europäische Gerichtshof (EuGH) im vergangenen Oktober für unsicher erklärt hatte, werde eine Bucht der Gesetzlosen folgen, fürchteten die Aktivisten von European Digital Rights (EDRi). Sie könnten recht behalten.

Mittlerweile ist klar, wie die angestrebte Regelung zum Datentransfer von der EU in die USA wirklich heißen soll: EU-US Privacy Shield – Privatsphären-Schutzschild. Regelung bedeutet in diesem Zusammenhang: Wie schon Safe Harbor wird auch Privacy Shield kein Abkommen und kein Gesetz, sondern eine Entscheidung der EU-Kommission, die auf EU-Recht beruht und nur in Kraft treten kann, wenn der US-Kongress das EU-US-Datenschutzrahmenabkommen (Umbrella Agreement) sowie den Judicial Redress Act verabschiedet, der EU-Bürgern ein beschränktes Klagerecht in den USA einräumt.

So weit ist es noch nicht. EU-Kommission und US-Regierung haben bisher keinen schriftlichen Entwurf vorgelegt. Die Ausarbeitung werde noch einige Wochen dauern, teilte Justizkommissarin Věra Jourová am Dienstagabend mit. Allein aus dieser Tatsache lässt sich einiges ablesen.

Hauptsache, die Unternehmen sind beruhigt

Erstens war den Verhandlungspartnern offensichtlich der Termin der Verkündung einer Einigung wichtiger als deren Inhalt. Am heutigen Mittwoch nämlich wollten die europäischen Datenschützer in der Artikel-29-Gruppe darüber entscheiden, ob und wie sie jetzt mit Unternehmen umgehen wollen, die Daten von EU-Bürgern zur Verarbeitung in die USA übertragen. Die große Befürchtung der Verhandler scheint es gewesen zu sein, dass die Datenschützer nun ziemlich schnell den Datentransfer einzelner Unternehmen untersagen würden. Die Ankündigung des Privacy Shield dürfte der Versuch sein, Zeit zu gewinnen. Europas Datenschützer sollten den Eindruck vermittelt bekommen, dass es schon bald eine neue, klare rechtliche Grundlage für die Datenübertragung in die USA geben wird.

Zweitens nützt das vor allem der Wirtschaft. Ein erzwungener Datentransferstopp würde vielen Unternehmen immense Probleme bereiten. Jedes Signal, das die Datenschutzbehörden milde stimmen könnte, ist für sie deshalb ein positives Signal. Um es zu diesem Zeitpunkt schon senden zu können, mussten EU-Kommission und US-Regierung aber ihre fundamentalen Differenzen überspielen. Diese Differenzen betreffen das angestrebte Schutzniveau der Daten von EU-Bürgern vor den US-Behörden und damit den Kern des EuGH-Urteils. Das Gericht hatte Safe Harbor unter anderem deshalb gekippt, weil die US-Gesetze es den dortigen Behörden erlauben, "generell auf den Inhalt elektronischer Kommunikation zuzugreifen".

Briefe von einem Lügner

Womit wir bei Punkt drei wären. Zwar ist in Jourovás Erklärung viel von "fundamentalen Rechten der EU-Bürger" die Rede. Doch die bisherige Erklärung, wie diese gewahrt bleiben sollen, ist schwammig bis haarsträubend. Kern der Privacy-Shield-Schutzvorkehrungen sind demnach ein paar Briefe von US-Geheimdienstkoordinator James Clapper. Der Mann, der den US-Kongress über das Ausmaß der NSA-Überwachung belogen hat und trotzdem im Amt bleiben durfte, hat der EU-Kommission schriftlich versichert, dass eine "unterschiedslose Massenüberwachung von personenbezogenen Daten, die in die USA übertragen werden", künftig ausbleiben werde.

Es wird also kein neues US-Gesetz geben, das die Befugnisse der Geheimdienste einschränkt, keine präsidiale Verfügung, nicht einmal einen Vertrag zwischen EU und USA. Nur eine Entscheidung der EU-Kommission, den Briefen eines Lügners zu trauen und den Zusicherungen eines scheidenden US-Präsidenten.

Dabei stecken allein in der vorläufigen Formulierung zur Einschränkung der Überwachung mindestens vier Schlupflöcher: Massenüberwachung mit minimalen Einschränkungen darf es demnach geben? Massenhaftes Abgreifen von nicht unmittelbar personenbezogenen Daten ist in Ordnung? Der Zugriff auf die Daten noch vor ihrer Übertragung in die USA ist möglich? Und ist es überhaupt schon Überwachung, wenn Daten nur gesammelt, aber zunächst nicht analysiert werden? Letzteres bestreiten die USA nämlich vehement.

Vertrauensbildende Maßnahmen sehen anders aus

Vieles wird also von den genauen Formulierungen von Privacy Shield abhängen, von der Unabhängigkeit und den Berechtigungen der Kontrollinstanzen – und eben vom Ehrenwort des Geheimdienstkoordinators. Anlass zur Hoffnung, dass der Schutzschild am Ende doch mehr als ein Sieb sein könnte, gibt es immerhin: Bei der Ausformulierung der endgültigen Kommissionsentscheidung soll der Rat von Europas Datenschützern eingeholt werden. Einmal jährlich wollen EU-Kommission und US-Handelsministerium die Einhaltung der Abmachungen zur beschränkten Überwachung überprüfen, auch hier werden europäische Datenschützer dabei sein. Es soll mehrere Beschwerdemöglichkeiten für EU-Bürger geben, die um den Schutz ihrer Daten in den USA fürchten, bis hin zu einem Ombudsmann im US-Außenministerium.

Ob der EuGH dieses Paket für geeignet hält, die in der EU-Grundrechtecharta verankerten Ansprüche auf Datenschutz und Rechtsmittel zu gewährleisten, ist völlig offen. Klagen zur Klärung werden jedenfalls nicht lange auf sich warten lassen. Aber selbst wenn Privacy Shield rechtlich nicht beanstandet würde – solange es nicht mit einer Änderung der US-Überwachungsgesetze einhergeht, sollte die EU-Kommission nicht versuchen, es als vertrauensbildende Maßnahme für die Bürger der EU zu verkaufen.