Die EU-Kommission und die US-Regierung haben sich endgültig auf die Datenschutzvereinbarung mit dem beruhigend klingenden Namen EU-US Privacy Shield geeinigt. Das berichtete unter anderem die BBC Ende der vergangenen Woche. Da nur wenige Stunden später das Ergebnis der Brexit-Abstimmung bekannt gegeben wurde, ist die Meldung bisher weitestgehend untergegangen. Dabei ist sie für den Datenschutz und die Privatsphäre der EU-Bürger von entscheidender Bedeutung.

Privacy Shield soll nämlich die Safe-Harbor-Regelung ersetzen, die der Europäische Gerichtshof (EuGH) im Oktober 2015 für ungültig erklärt hatte. Safe Harbor war eine sogenannte Adäquanzentscheidung der EU-Kommission, also kein Abkommen, sondern ein unilateraler Beschluss, der seit dem Jahr 2000 regelte, unter welchen Umständen ein Unternehmen personenbezogene Daten in die USA übertragen darf. Auch Privacy Shield wird kein Abkommen und kein Gesetz, sondern eine Entscheidung der Kommission, die auf EU-Recht beruht.

Bereits im Februar hatte EU-Justizkommissarin Věra Jourová verkündet, dass man sich mit der US-Regierung auf den Privacy Shield geeinigt habe. Doch nach deutlicher Kritik an dem Entwurf vor allem der europäischen Datenschutzbeauftragten sowie aus dem EU-Parlament musste die Kommission nachverhandeln. Das ist nun geschehen. Im Mittelpunkt steht dabei die Frage, wie Daten europäischer Nutzer vor den US-Geheimdiensten geschützt werden können.

Unternehmen müssen Daten schneller löschen

Der EuGH hatte Safe Harbor unter anderem deshalb gekippt, weil die US-Gesetze es den dortigen Behörden erlauben, "generell auf den Inhalt elektronischer Kommunikation zuzugreifen". Für Datenschützer und Aktivisten war deshalb klar: Ein Safe-Harbor-Nachfolger wird vor Gericht nur Bestand haben, wenn die USA gleichzeitig ihre Überwachungsgesetze ändern. Dazu aber ist die US-Regierung nicht bereit. Stattdessen kommt sie der EU-Kommission anderweitig entgegen.

So ist in den neuen Ergänzungen zu Privacy Shield unter anderem vorgesehen, dass US-Unternehmen Nutzerdaten löschen müssen, sobald sie nicht mehr den Zweck erfüllen, für den sie gesammelt wurden. Anders ausgedrückt: Wenn man schon nicht ausschließen kann, dass US-Geheimdienste an die Daten von EU-Bürgern heranwollen, dann sorgt man wenigstens dafür, dass es nicht übermäßig viel gibt, was sie sich holen könnten.

Außerdem verpflichtet sich die US-Regierung, große Mengen an Daten nur dann zu sammeln (bulk collection), wenn spezifische Bedingungen erfüllt sind und wenn das Ganze "so gezielt wie möglich" passiert, wie es im BBC-Bericht heißt. Jourová sagte dem EU Observer, die US-Amerikaner hätten nun besser dargelegt, was aus ihrer Sicht "der Unterschied zwischen bulk collection, die gerechtfertigt sein kann, und zielloser, inakzeptabler Massenüberwachung" sei.

Das klingt nach Schrödingers Spionage: Wenn die US-Dienste Daten sammeln, kann es gleichzeitig rechtmäßige bulk collection und unrechtmäßige Massenüberwachung sein. Was es ist, hängt möglicherweise davon ab, wer es überprüft. Der von Jourová erwähnte Unterschied bestand nämlich bisher daraus, dass die US-Dienste das bloße Sammeln von Daten traditionell nicht als Überwachung betrachten. Die beginnt demnach erst, wenn jemand in die Daten hineinschaut.

Ausschuss der Mitgliedstaaten muss noch zustimmen

Möglicherweise bringt die schriftliche Fassung mehr Klarheit als die Ausführungen der Kommissarin. Öffentlich ist sie noch nicht. Aber seit einigen Tagen liegt die neue Version von Privacy Shield dem Artikel-31-Ausschuss vor. Der Ausschuss besteht aus Vertretern der EU-Staaten und könnte das Vorhaben noch platzen lassen, wenn mindestens 16 von 28 Staaten dagegen stimmen.

Die EU-Kommission wie auch die US-Regierung hoffen aber auf eine baldige Zustimmung, um Privacy Shield spätestens im August in Kraft treten lassen zu können. Denn US-Unternehmen, die Daten aus Europa verarbeiten, brauchen dringend eine neue rechtliche Grundlage. Deutsche Datenschützer haben bereits erste Bußgeldbescheide an Firmen verschickt, die sich immer noch auf Safe Harbor berufen. Und auch die verbreitetste Alternative, die sogenannten Standardvertragsklauseln, sollen jetzt gerichtlich darauf hin überprüft werden, ob sie geeignet sind, die Privatsphäre von EU-Bürgern zu schützen.

Geheimdienste - Wohin führt der digitale Überwachungsstaat? Massenüberwachung, Datenspionage, NSA-Skandal: US-amerikanische Whistleblower diskutieren mit Mitgliedern im NSA-Untersuchungsausschuss. Die Debatte im Video