Der Privacy Shield ist praktisch beschlossene Sache: Noch diese Woche wird das letzte Gremium, das noch ein echtes Vetorecht hätte, der künftigen Datenschutzvereinbarung der EU-Kommission mit der US-Regierung zustimmen. Der Artikel-31-Ausschuss, bestehend aus Vertretern der EU-Mitgliedstaaten und der Kommission selbst, hatte einige Tage Zeit, das mit Anhängen 174 Seiten lange und unter anderem von Spiegel Online veröffentlichte Dokument zu bewerten. Er wird dem Vernehmen nach nicht versuchen, weitere Nachverhandlungen durchzusetzen.

Am 12. Juli tritt der Privacy Shield offiziell in Kraft. An dem Tag ist US-Handelsministerin Penny Pritzker in Brüssel zu Gast bei der EU-Kommission. Es ist die perfekte Gelegenheit für einen gemeinsamen Auftritt mit EU-Justizkommissarin Věra Jourová, die den Privacy Shield als "starken Rahmen" bezeichnet, "basierend auf robuster Durchsetzung und Kontrolle, einfacherer Rechtshilfe für Betroffene und zum ersten Mal schriftlichen Zusicherungen unserer US-Partner zu den Begrenzungen und Schutzmaßnahmen beim Zugriff der Behörden auf die Daten" der EU-Bürger.

US- und europäische Unternehmen warten schon auf den Privacy Shield. Sie haben dann eine neue rechtliche Grundlage, um Daten von EU-Bürgern in den USA zu übertragen, speichern und verarbeiten. Die brauchen sie, seit der Europäische Gerichtshof (EuGH) im vergangenen Oktober die seit dem Jahr 2000 bestehende Datenschutzentscheidung Safe Harbor gekippt hat.

Privacy Shield ändert nichts an den US-Gesetzen

Die entscheidende Frage lautet nun: Verhält sich Safe Harbor zu Privacy Shield wie der Schokoriegel Raider zu Twix? Neuer Name, alter Inhalt? Oder sind die Daten der EU-Bürger durch die neue Vereinbarung besser vor dem Zugriff der US-Behörden geschützt als unter Safe Harbor?

Jan Philipp Albrecht, Datenschutzexperte der Grünen im EU-Parlament, ist überzeugt, dass sich in der Praxis für EU-Bürger wenig bis nichts ändert. Der EuGH hatte Safe Harbor unter anderem gekippt, weil die US-Gesetze es den dortigen Behörden erlauben, "generell auf den Inhalt elektronischer Kommunikation zuzugreifen". Privacy Shield nun ist wie schon Safe Harbor kein Abkommen und kein Gesetz, sondern eine Adäquanzentscheidung der EU-Kommission. Das Parlament durfte eine nicht bindende Resolution verabschieden, in der es sich für Nachbesserungen aussprach, mehr Mitspracherecht hatte es aber nicht. Die Entscheidung der EU-Kommission wird nur mittels schriftlicher Erklärungen der US-Regierung präzisiert. "Es kann schwerlich der Fall sein", sagt Albrecht, "dass sich durch eine Entscheidung der EU-Kommission und einen Briefwechsel zwischen US-Regierung und Kommission das Recht der Vereinigten Staaten ändert." Er bezweifelt deshalb, dass Privacy Shield den Anforderungen des EuGH genügen würde, falls jemand dagegen klagt.

Zweckbindung für Daten ist vorgesehen

Das angeblich höhere Schutzniveau von Privacy Shield im Vergleich zu Safe Harbor besteht im Kern aus drei Elementen. Erstens aus der neuen Pflicht für Unternehmen in den USA, Daten von EU-Bürgern nur so lange zu speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind". Albrecht hält das für einen der wenigen Fortschritte, zumal eine ähnliche Formulierung auch in der EU-Datenschutzverordnung enthalten ist, die 2018 in Kraft tritt.

Allerdings befürchtet er, dass die zuständige US-Handelsaufsicht FTC Probleme haben wird, die Regel durchzusetzen: "Die FTC ist eine Wettbewerbsbehörde, die kann nicht mal eben in Einzelfällen ausrücken und sofort Sanktionen verhängen." Sie müsse erst eine Marktverzerrung oder einen Verstoß gegen Regeln im größeren Stil nachweisen.