Nach ziemlich genau neun Monaten im rechtlichen Limbus haben Unternehmen seit dem heutigen Dienstag eine neue rechtliche Grundlage für die Übertragung von Nutzerdaten aus der EU in die USA. Im vergangenen Oktober hatte der Europäische Gerichtshof (EuGH) die Datenschutzregelung Safe Harbor für ungültig erklärt. Nun hat die Kommission den Nachfolger in Kraft gesetzt. Er heißt optimistischerweise Privacy Shield. "Wir haben sehr hart mit unseren amerikanischen Partnern daran gearbeitet, einen Neustart hinzulegen", sagte die EU-Justiz- und Verbraucherschutzkommissarin Vera Jourova in Brüssel. Die US-Staatssekretärin für Handel, Penny Pritzker, sprach von einem "Meilenstein", den EU und USA mit "Privacy Shield" gesetzt hätten.

Wie Safe Harbor ist auch Privacy Shield eine Adäquanzentscheidung der EU-Kommission, also kein völkerrechtliches Abkommen, sondern ein unilateraler Beschluss. Er regelt, unter welchen Umständen ein Unternehmen personenbezogene Daten von EU-Bürgern in die USA übertragen darf. Ein Unternehmen, das seine Datentransfers rechtlich mit dem Privacy Shield absichern will, muss sich also gewissen Grundsätzen unterwerfen. Erste Reaktionen lassen vermuten, dass viele das in naher Zukunft tun werden.

Microsoft zum Beispiel. Der für Rechtsfragen in der EU zuständige Microsoft-Vizepräsident John Frank nennt Privacy Shield "eine solide rechtliche Grundlage". Ähnlich klingt es beim eco, dem deutschen Verband der Internetwirtschaft: "Privacy Shield sieht gegenüber dem alten Safe-Harbor-Abkommen ein deutlich höheres Datenschutzniveau vor, das durch verschiedene Mechanismen abgesichert ist und an das auch die Aufsichtsbehörden gebunden sind. Selbst wenn der EuGH hier irgendwann trotzdem Nachbesserungen fordern sollte, besteht nun endlich wieder Rechtssicherheit", teilte eco-Vorstand Oliver Süme mit. Auch die EU-Mitgliedstaaten haben sich in der sogenannten Artikel-31-Gruppe mehrheitlich für den Privacy Shield ausgesprochen.

US-Recht hat Vorrang vor Privacy Shield

Die angeblichen Verbesserungen gegenüber Safe Harbor sehen so aus: Erstens hat die US-Regierung der EU-Kommission schriftlich zugesichert, dass sie die bulk collection, also die massenhafte Sammlung von Daten der EU-Bürger durch ihre Geheimdienste, auf bestimmte Fälle beschränkt: Sie soll nur möglich sein, wenn die gezielte Überwachung von Einzelnen nicht machbar ist. Verwendet werden dürfen die Daten nur dann, wenn es um die "nationale Sicherheit" der USA geht, und zwar im Hinblick auf Terrorismus, Spionage, Massenvernichtungswaffen, Bedrohungen für das Militär sowie vergleichbar schwerwiegende "transnationale kriminelle Bedrohungen".

Wer trotzdem glaubt, unrechtmäßig überwacht worden zu sein, kann sich zweitens bei einer unabhängigen Ombudsperson im US-Außenministerium beschweren. Die muss den Fall prüfen und dem Antragsteller mitteilen, ob die US-Regierung im jeweiligen Fall gegen Gesetze verstoßen hat oder nicht.

Drittens: Unternehmen verpflichten sich, Daten von EU-Bürgern nur so lange zu speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind".

Viertens, und das ist für John Frank von Microsoft einer der wichtigen Punkte, wird Privacy Shield einmal jährlich überprüft und gegebenenfalls angepasst, wenn die Entwicklungen in Technik, Recht und Datenverarbeitungspraktiken das erfordern.

Fünftens hatte Safe Harbor die Kompetenzen der nationalen Datenschutzbehörden unzulässig eingeschränkt, wie der EuGH befand (hier das Urteil im deutschen Volltext). Das soll beim Privacy Shield nicht mehr der Fall sein.

Irgendwer wird schon klagen

All das reicht jedoch nicht, um die Kritiker der Kommissionsentscheidung zufrieden zu stellen. Ihre wichtigsten Argumente lauten: Privacy Shield ändere nichts an der Überwachungspraxis der USA, weshalb von einem angemessenen Datenschutzniveau keine Rede sein könne. Die Ombudsperson sei machtlos, die Einspruchsmöglichkeiten für EU-Bürger in den USA in der Praxis stark beschränkt. Und überhaupt müssten sich US-Unternehmen nicht an die Prinzipien von Privacy Shield halten, wenn diese mit US-Gesetzen kollidieren.

Ob Privacy Shield nun die von der Wirtschaft erhoffte "solide", oder doch nur eine vorübergehend wirksame Rechtsgrundlage ist, wird sich zeigen. Der Wiener Jurist Max Schrems, der mit seiner Klage dafür sorgte, dass sich der EuGH mit Safe Harbor befasst, hatte nach der Veröffentlichung des ersten Privacy-Shield-Entwurfs gesagt: "Das geht hundertprozentig zurück an den EuGH. Wenn ich es nicht mache, macht es jemand anderes."

Computertechnologie - Kurz erklärt: Was bedeutet eigentlich Datenschutz?