Transatlantischer Kompromiss in Sachen Datenschutz

Das nach langen Verhandlungen erzielte Abkommen bleibt löchrig und unbefriedigend

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Nach zweijährigen Verhandlungen zwischen der EU und den USA meldet jetzt die EU-Kommission, man habe am 14. März ein vorläufiges Abkommen zum Thema Datenschutz erreicht. Die EU-Richtlinie zum Schutz persönlicher Daten ist noch nicht einmal von allen Mitgliedsstaaten der EU, darunter auch Deutschland, umgesetzt worden, aber jetzt steht das eigentlich schon länger bekannte Prinzip eines der europäischen Richtlinie entsprechenden Datenschutzes durch das von der US-Regierung und vor allem der Wirtschaft favorisierte Modell eines "safe harbor" fest.

Die europäische Richtlinie, 1998 in Kraft getreten, schreibt bekanntlich vor, dass keine persönlichen Daten von EU-Bürgern in andere Länder gelangen und dort verarbeitet werden dürfen, die nicht entsprechende Maßnahmen vorgesehen haben. Bislang sind, um die "transatlantischen Beziehungen" nicht zu gefährden, allerdings trotz der Richtlinie weiterhin die Daten über den Atlantik geflossen. Auch jetzt findet man in der Ankündigung kein Datum, wann das Abkommen in Kraft treten soll. Es gibt nur einen Hinweis darauf, dass man sich in einem Jahr wieder treffen will, um die Forschritte zu überprüfen. Inzwischen muss das Abkommen auf der EU-Seite noch von der Kommission, den Mitgliedsstaaten und dem Parlament gebilligt werden, in den USA etwa vom National Economic Council. Man hofft, damit bis Juni oder Juli durch zu sein, um mit diesem "Paket", das sich dann freilich auch andere Länder zu eigen machen dürften, "Rechtssicherheit" für die "transatlantischen Informationsflüsse" schaffen zu können.

Offenbar hat die EU sich in den USA nicht wirklich durchsetzen können oder wollen mit ihren Anliegen zum Datenschutz. Weiterhin bleibt es völlig freiwillig, ob sich die amerikanischen Unternehmen irgendwelchen Datenschutzregeln unterwerfen. Sie verpflichten sich freiwillig, bestimmten Datenschutzregeln zu gehorchen, wie sie etwa durch die "Siegel" von einigen privaten Organisationen wie Truste vergeben werden. Haben sie diese Verpflichtung abgegeben, kommen sie automatisch in den Genuss, Daten von EU-Bürgern verarbeiten zu können. Möglich ist auch, dass ein Unternehmen nur Teile seiner Geschäftsbereich unter das "safe harbour"-Prinzip stellt. Eine Überprüfung der Einhaltung der Datenschutzregeln muss nicht einmal von einer unabhängigen Instanz, sondern kann auch vom Unternehmen selbst durchgeführt werden. Im Unbestimmten aber bleibt, was die Unternehmen wirklich tun müssen, ob und wie sie gerichtlich belangt werden können, welche US-Behörde zuständig ist oder ob Schadenersatz gezahlt werden muss, wenn die Unternehmen die von ihnen selbst gesetzten Datenschutzregeln verletzen. Auch eine Opt-in-Regelung ist nicht, wie die EU-Richtlinie dies vorschreibt, zwingend vorgesehen. Fraglich ist weiter, ob EU-Bürger wirklich durchsetzen können, dass sie ihr Recht wahrnehmen können, die gesammelten Daten einzusehen, zu korrigieren und zu löschen. Geklärt ist auch nicht die Kostenfrage, die auf Europäer zukommt, wenn sie sich in den USA über Verletzungen des Datenschutzes beschweren wollen. Zudem scheint der Gerichtsstand für amerikanische Firmen in den USA zu liegen, was der amerikanische Chefverhandlungspartner David Aaron schon einmal als "sehr attraktiv" bezeichnete, da dann das Selbstregulierungsprinzip nicht gefährdet werde.

Ausgeschlossen von dem "Abkommen" sind noch alle Finanzdienstleistungen - oder, wie dies David Aaron sophistisch ausgedrückt hat: "Sie sind nicht ausgeschlossen, sondern einfach noch nicht eingeschlossen." Finanzdienstleistungen machen allerdings einen guten Anteil am Datenaustausch aus. Der für den EU-Binnenmarkt und die Verhandlungen mit den USA zuständige John Mogg rechtfertigte dies damit, dass es in den USA noch keine gesetzlichen Regelungen über den Datenschutz bei Finanzdienstleistungen gebe, weswegen eine Festlegung jetzt unsinnig sei.

Einmal abgesehen davon, dass sich die EU auch intern schwer tut, die Datenschutzrichtlinie umzusetzen, scheint der jetzt gefundene Kompromiss mit den vielen Ausnahmen und den geringen Chancen, dass Datenschutzverletzungen auf der amerikanischen Seite auch wirklich verfolgt werden, der Mühe nicht wert gewesen zu sein.

Ungeklärt sind auch weitere Fragen im Kontext des ECommerce. So weist die EU-Arbeitsgruppe für den Datenschutz darauf hin, dass das Sammeln und Verwenden von Email-Adressen für Direktwerbung noch ein offener Punkt sei, der aber dringend zu klären sei, weil die Kostenvorteile diese Form der Werbung immer attraktiver werden lasse. Dürfen also ohne Zustimmung der Betroffenen Email-Adressen für kommerzielle Zwecke gesammelt werden, zumal solche Datenbanken in aller Regel nicht für einmalige bestimmte und explizit dargelegte Zwecke aufgebaut werden? Überdies sei auch ein Sammeln von Email-Adressen in öffentlich zugänglichen Räumen des Internet nicht mit der Datenschutzrichtlinie vereinbar, wenn der Betroffene die Email-Adresse für einen ganz anderen Zweck bekannt gegeben hat, als etwa Email-Werbung zu erhalten.

nach oben