Der Privacy Shield ist praktisch beschlossene Sache: Noch diese Woche wird das letzte Gremium, das noch ein echtes Vetorecht hätte, der künftigen Datenschutzvereinbarung der EU-Kommission mit der US-Regierung zustimmen. Der Artikel-31-Ausschuss, bestehend aus Vertretern der EU-Mitgliedstaaten und der Kommission selbst, hatte einige Tage Zeit, das mit Anhängen 174 Seiten lange und unter anderem von Spiegel Online veröffentlichte Dokument zu bewerten. Er wird dem Vernehmen nach nicht versuchen, weitere Nachverhandlungen durchzusetzen.

Am 12. Juli tritt der Privacy Shield offiziell in Kraft. An dem Tag ist US-Handelsministerin Penny Pritzker in Brüssel zu Gast bei der EU-Kommission. Es ist die perfekte Gelegenheit für einen gemeinsamen Auftritt mit EU-Justizkommissarin Věra Jourová, die den Privacy Shield als "starken Rahmen" bezeichnet, "basierend auf robuster Durchsetzung und Kontrolle, einfacherer Rechtshilfe für Betroffene und zum ersten Mal schriftlichen Zusicherungen unserer US-Partner zu den Begrenzungen und Schutzmaßnahmen beim Zugriff der Behörden auf die Daten" der EU-Bürger.

US- und europäische Unternehmen warten schon auf den Privacy Shield. Sie haben dann eine neue rechtliche Grundlage, um Daten von EU-Bürgern in den USA zu übertragen, speichern und verarbeiten. Die brauchen sie, seit der Europäische Gerichtshof (EuGH) im vergangenen Oktober die seit dem Jahr 2000 bestehende Datenschutzentscheidung Safe Harbor gekippt hat.

Privacy Shield ändert nichts an den US-Gesetzen

Die entscheidende Frage lautet nun: Verhält sich Safe Harbor zu Privacy Shield wie der Schokoriegel Raider zu Twix? Neuer Name, alter Inhalt? Oder sind die Daten der EU-Bürger durch die neue Vereinbarung besser vor dem Zugriff der US-Behörden geschützt als unter Safe Harbor?

Jan Philipp Albrecht, Datenschutzexperte der Grünen im EU-Parlament, ist überzeugt, dass sich in der Praxis für EU-Bürger wenig bis nichts ändert. Der EuGH hatte Safe Harbor unter anderem gekippt, weil die US-Gesetze es den dortigen Behörden erlauben, "generell auf den Inhalt elektronischer Kommunikation zuzugreifen". Privacy Shield nun ist wie schon Safe Harbor kein Abkommen und kein Gesetz, sondern eine Adäquanzentscheidung der EU-Kommission. Das Parlament durfte eine nicht bindende Resolution verabschieden, in der es sich für Nachbesserungen aussprach, mehr Mitspracherecht hatte es aber nicht. Die Entscheidung der EU-Kommission wird nur mittels schriftlicher Erklärungen der US-Regierung präzisiert. "Es kann schwerlich der Fall sein", sagt Albrecht, "dass sich durch eine Entscheidung der EU-Kommission und einen Briefwechsel zwischen US-Regierung und Kommission das Recht der Vereinigten Staaten ändert." Er bezweifelt deshalb, dass Privacy Shield den Anforderungen des EuGH genügen würde, falls jemand dagegen klagt.

Zweckbindung für Daten ist vorgesehen

Das angeblich höhere Schutzniveau von Privacy Shield im Vergleich zu Safe Harbor besteht im Kern aus drei Elementen. Erstens aus der neuen Pflicht für Unternehmen in den USA, Daten von EU-Bürgern nur so lange zu speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind". Albrecht hält das für einen der wenigen Fortschritte, zumal eine ähnliche Formulierung auch in der EU-Datenschutzverordnung enthalten ist, die 2018 in Kraft tritt.

Allerdings befürchtet er, dass die zuständige US-Handelsaufsicht FTC Probleme haben wird, die Regel durchzusetzen: "Die FTC ist eine Wettbewerbsbehörde, die kann nicht mal eben in Einzelfällen ausrücken und sofort Sanktionen verhängen." Sie müsse erst eine Marktverzerrung oder einen Verstoß gegen Regeln im größeren Stil nachweisen. 

Wo Überwachung beginnt, sehen die USA anders als der EuGH

Zweitens hat die US-Regierung schriftliche Zusicherungen und Erklärungen abgegeben, Daten von EU-Bürgern nicht anlass- und unterschiedslos zu sammeln. Wobei es für diese bulk collection auch Ausnahmen gibt: Sie soll möglich sein, wenn die gezielte Überwachung von Einzelnen nicht machbar ist. Verwendet werden dürfen die Daten dann nur, wenn es um die "nationale Sicherheit" der USA geht, und zwar im Hinblick auf Terrorismus, Spionage, Massenvernichtungswaffen, Bedrohungen für das Militär sowie vergleichbar schwerwiegende "transnationale kriminelle Bedrohungen".

Was aus dem Text von Privacy Shield und seinen Anhängen klar hervorgeht, ist die generelle Haltung der US-Regierung: Das bloße Sammeln von Daten durch eine Behörde stellt noch keine Überwachung dar. Die beginnt erst, sobald jemand mit den Daten arbeitet. Das aber steht im Widerspruch zur Rechtsprechung des EuGH, der zufolge schon die Ergebung bestimmter Daten einen Grundrechtseingriff darstellt und deshalb nicht anlasslos stattfinden darf.

Drittens: Wer glaubt, unrechtmäßig überwacht worden zu sein, darf sich künftig bei einer Ombudsperson im US-Außenministerium beschweren. Diese soll umfassende Prüfrechte auch innerhalb der US-Geheimdienste bekommen und mit anderen Aufsichtsgremien zusammenarbeiten. Die Ombudsperson soll letztlich entscheiden und Auskunft darüber geben, ob ein EU-Bürger auf Basis der US-Gesetze rechtmäßig überwacht wurde, und zwar "objektiv und frei von unangemessenem Einfluss, der einen Einfluss auf seine Antwort haben könnte". Was ein "unangemessener Einfluss" wäre, steht nicht in den Unterlagen. Albrecht hält zudem die tatsächliche Macht der Ombudsperson für stark beschränkt.

Ihm wäre eine Befristung von Privacy Shield auf zunächst zwei Jahre lieber gewesen, um in der Zwischenzeit zusammen "mit einer neuen US-Regierung die noch bestehenden Lücken zu stopfen". Und zwar mithilfe neuer beziehungsweise nachgebesserter Gesetze in den USA zum Verbraucherdatenschutz und zur anlasslosen Datenspeicherung.

Der Europaabgeordneten Cornelia Ernst von den Linken wäre selbst das nicht genug: "Ich fordere, dass die Angelegenheit noch vor der Sommerpause im Parlament diskutiert wird und so schnell wie möglich eine Resolution in die Wege geleitet wird, die alle Einspruchsrechte des Europaparlaments wahrnimmt und Privacy Shield zurückweist", teilt sie mit. "Notfalls muss das Parlament vor Gericht ziehen."