Die EU-Kommission hat heute in einer offiziellen Pressekonferenz die finale Fassung des „Privacy Shield“ als Nachfolger für das Safe Harbor-Abkommen präsentiert. Jan Philipp Albrecht organisiert eine Art Gegenveranstaltung und lud Max Schrems dazu.

Dieser Bericht ist ein Gastbeitrag von Jan Weisensee, unsere detaillierte Einschätzung zum Thema findet sich hier. Nach fünf Jahren als EU-Lobbyist für Großunternehmen ist Jan heute Mitbegründer des Privacy Training Center und schreibt regelmäßig für Golem.de. Er twittert als @ilumium.

Gegenveranstaltung zur Pressekonferenz

Während die zuständige EU-Kommissarin Věra Jourová und ihre amerikanische Kollegin Penny Pritzker den neuen Vertrag in den Himmel lobten, fand nicht weit entfernt in den Räumen des Europäischen Parlaments eine Art Gegenveranstaltung statt, zu welcher der grüne EU-Abgeordnete Jan Philipp Albrecht unter Teilnahme von Max Schrems eingeladen hatte. Vor rund 25 Brüsseler Journalisten erklärten die beiden bei einem Frühstück im Abgeordneten-Restaurant, warum das „Privacy Shield“-Abkommen ihrer Meinung nach nichts taugt – und was nun darauf folgt.

„Es gibt noch immer erhebliche Differenzen zwischen europäischem und amerikanischem Datenschutzrecht“, sagt Albrecht. Die Behauptung der Kommission, es gäbe nun in den USA gar keine Massenüberwachung mehr und daher sei ein Datentransfer zulässig, sei falsch. Das bestätigten auch die USA offiziell: Laut der einschlägigen Presidential Policy Directive 28 darf „massenhaft gesammelte elektronische Überwachung nur in sechs spezifischen Fällen ausgewertet werden“. Um sie in diesen Fällen auswerten zu können, muss es sie natürlich geben.

Aber vielleicht werden die massenhaft gesammelten Daten ja nur für echte Terrorbekämpfung genutzt, oder? Max Schrems winkt ab. Die sogenannten „sechs spezifischen Fälle“, in denen massenhaft gesammelte EU-Daten von US-Diensten genutzt werden dürfen, seien so vage formuliert, dass darunter quasi alles fallen könnte. Unter den Big Six finden sich zum Beispiel das „Feststellen und dem Begegnen bestimmter Aktivitäten ausländischer Mächte“. Das kommt einem Freifahrtschein zur anlasslosen Massenüberwachung aller nicht-amerikanischen Daten gleich.

„Meilenweit vom EuGH entfernt“

Aber wie soll dann das Privacy Shield eine neuerliche Prüfung durch den EuGH überstehen? Gar nicht laut Schrems: „Die Schutzmechanismen des Privacy Shield sind meilenweit von dem entfernt, was der EuGH in seinem Safe-Harbor-Urteil gefordert hat.“ Zwar bringe das Privacy Shield einige wenige Verbesserungen gegenüber seinem Vorgänger, beispielsweise die Verpflichtung zur Datenminimierung, aber die meisten dieser Verbesserungen seien löchrig und leicht zu umgehen.

Man muss sich das noch einmal vor Augen halten: Es findet hier ja keine Verhandlung zwischen dem EuGH und der EU-Kommission statt, bei der man sich irgendwo in der Mitte einigen könnte. Nein, der EuGH leitet die rechtlichen Mindeststandards direkt aus dem europäischen Primärrecht ab, die EU-Kommission muss sie einhalten.

„Die Kommission als Hüterin der EU-Verträge macht ihren Job nicht richtig“, sagt deshalb Albrecht. Dort gäbe man sogar zu, sich nicht sicher zu sein, ob das Privacy Shield einer neuerlichen Überprüfung des EuGH standhalten würde. „Niemand in der Kommission ist glücklich mit diesem Abkommen. Jeder versteht das Problem, man entschied sich aber dafür, lieber wegzuschauen und es durchzuwinken“, ergänzt Schrems. Grund: Etwas Anderem hätten die Amerikaner nie zugestimmt.

Neue Klage ja, aber wer macht’s?

Also wieder vor Gericht ziehen, Max? Schrems rollt mit den Augen, er hat diese Frage schon tausendmal gehört. „Ich hoffe, das machen jetzt mal andere. Besonders die nationalen Datenschutzbehörden.“ Gegen das Privacy Shield klagen könnten neben diesen auch das Europäische Parlament, privatwirtschaftliche Unternehmen oder jede natürliche Person in der EU. Zumindest im Parlament stehen die Chancen auf eine Mehrheit gegen Konservative und Sozialdemokraten allerdings nicht gut.

Also letzte Frage: Wie sieht denn für die Kritiker eine Ideallösung aus? Was müsste denn statt des Privacy Shields her? Jan Philipp Albrecht sieht hier nur den harten Weg: „Datentransfers aus der EU in die USA dürfen nur dann stattfinden, wenn die USA ihre Gesetze ändert.“ Erst wenn die Amerikaner ein mit der EU vergleichbares allgemeines Datenschutzgesetz hätten und die Aktivitäten der Geheimdienste effektiv einschränkten, dürften sie auf privilegierten Zugang zu EU-Daten hoffen. Solange dies nicht geschieht, dürfte nicht verhandelt werden.