Vor zwei Tagen hat die EU-Kommission den „erfolgreichen“ Abschluss der Verhandlungen mit den USA über eine Folgevereinbarung zum Safe-Harbor-Abkommen verkündet. Nach Ansicht des Bundesverband IT-Sicherheit e.V. (kurz: TeleTrusT) sei bereits jetzt klar, dass die neue Vereinbarung geltendes EU-Recht brechen werde.
Künftig sollen Daten in die USA datenschutzkonform auf Basis des sogenannten EU-US Privacy Shield übermittelt werden dürfen. TeleTrusT bezeichnet das als „inkonsequenten Schnellschuss“ und einen „erneuten Bruch geltenden EU-Rechtes“. Die vom EuGH aufgezeigten Missstände seien nicht ausreichend berücksichtigt, weil auch die Nachfolgeregelung keinen ausreichenden Schutz der Daten vorsehe. Inhalt der Vereinbarung soll insbesondere die Zusage der US-Regierung werden, den massenhaften Datenzugriff der US-Behörden auf das erforderliche Maß zu beschränken. Das war bei Safe Harbour nicht anders. Dass dieses erforderliche Maß durch die USA festgelegt wurde, hatte — verkürzt gesprochen — auch das Safe-Harbor-Abkommen zu Fall gebracht.
„Bereits vor Veröffentlichung des vollständigen Vertragstextes ist klar, dass die Forderungen des EuGH aus dem „Schrems-Urteil“ so nicht erfüllt werden können. Statt staatlicher Regeln zur Begrenzung des Datenzugriffs seitens der USA bleibt es bei einseitigen Absichtserklärungen. Statt eines wirksamen gerichtlichen Rechtsschutzes richten die USA lediglich Kummerkästen ein. Völlig außer Acht lässt die Kommission, dass die Sammelwut der USA bis zum nächsten Snowden wieder im streng Geheimen stattfindet. Die Wahrung des europäischen Grundrechts auf Schutz der personenbezogenen Daten würde dagegen ein radikales Umdenken der USA beim Thema Datenschutz, insbesondere beim Zugriff der Geheimdienste, voraussetzen. Das ist aber keineswegs in Sicht. Dies zeigen nicht zuletzt auch die aktuellen Gesetzgebungsverfahren zum USA Freedom Act und dem Judicial Redress Act. Beide werden die vom EuGH aufgezeigten Missstände nicht beseitigen.“
Karsten U. Bartels, Rechtsanwalt bei HK2 RAe, Berlin
TeleTrusT-Vorstand und Leiter der AG „Recht“
Die Annahme, die USA werden allein aufgrund des Privacy Shield das Datenschutzniveau angemessen anheben können, sei nicht vertretbar. Das hieße nicht weniger als den Europäern ein höheres Schutzniveau zu gewähren als den US-Bürgern gegenüber. Tatsächlich sei die Einhaltung eines EU-grundrechtskonformen Schutzniveaus auch weiterhin alleine in das Ermessen der USA gestellt. Dies sei eine Kapitulation in Sachen Datenschutz und IT-Sicherheit. Es sei zudem davon auszugehen, dass der EuGH auch das neue Abkommen für unwirksam erklären werde. Dadurch ist das Abkommen nicht mehr als ein politischer Zeitgewinn um das transatlantische Verhältnis nicht weiter zu belasten — eine Lösung für betroffene Unternehmen ist es nicht und diese ist auch nicht in Sicht.
„Für Unternehmen, die Daten in die USA übermitteln, stellt sich damit weiterhin die Frage, ob dies auf einer derart unsicheren Grundlage erfolgen kann. Unternehmen sollten sich nicht auf das neue Abkommen verlassen und konsequent an einer Verlagerung der Datenverarbeitung nach Europa weiterarbeiten. Besonders international tätige Konzern-Unternehmen stehen weiter vor einem Scherbenhaufen, der bereits Jahre zuvor abzusehen war.“
Sebastian Klipper, CycleSEC Gründer und Geschäftsführer
Das Unabhängige Landeszentrums für Datenschutz in Schleswig-Holstein vertrat bereits 2011 die Ansicht, dass Safe Harbor das Papier nicht wert sei, auf dem es geschrieben stehe. Das Abkommen wurde am 6. Oktober 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Eine Übergangsfrist europäischen Datenschutzbehörden für eine Neuregelung der Datenübertragung in die USA durch die EU-Kommission verstrich Ende Januar 2016.
Link zur TeleTrusT Pressemitteilung.
Kontakt zu CycleSEC
Sie möchten Ihren „Safe-Harbor-Scherbenhaufen“ aufräumen? Natürlich beraten wir Sie gerne zu Lösungswegen und beantworten Ihre Fragen rund um das Thema. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie auch das folgende Kontakt-Formular nutzen:
Kontaktformular
Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.