Nachdem das Standardwerk Safe Harbour von dem EuGH als ungültig erklärt wurde, wurde auf EU-Ebene nun der Nachfolger ratifiziert. Dieser trägt den Titel „Privacy Shield“ und soll wieder Rechtssicherheit für europäische Unternehmen herstellen, welche in den USA (oder bei US-Firmen) Daten verarbeiten herstellen.
Leider gestaltet sich das schwieriger als gedacht, denn der Dreh und Angelpunkt des EuGH Urteils war der legitimierte unkontrollierte Zugriff von US-Behörden auf Daten im Einflussbereich der USA. Dieser Punkt sollte nun mit dem Privacy Shield Abkommen gelöst werden. Sollte, denn genau dieser Punkt bleibt bei dem Papier weiterhin außen vor. Die Zeit hat hierzu einen interessanten Artikel online gestellt, der leider die Thematik nicht bis zum bitteren Ende beleuchtet.
Der EuGH hatte Safe Harbor unter anderem deshalb gekippt, weil die US-Gesetze es den dortigen Behörden erlauben, „generell auf den Inhalt elektronischer Kommunikation zuzugreifen“. Für Datenschützer und Aktivisten war deshalb klar: Ein Safe-Harbor-Nachfolger wird vor Gericht nur Bestand haben, wenn die USA gleichzeitig ihre Überwachungsgesetze ändern. Dazu aber ist die US-Regierung nicht bereit. Stattdessen kommt sie der EU-Kommission anderweitig entgegen.
So ist in den neuen Ergänzungen zu Privacy Shield unter anderem vorgesehen, dass US-Unternehmen Nutzerdaten löschen müssen, sobald sie nicht mehr den Zweck erfüllen, für den sie gesammelt wurden. Anders ausgedrückt: Wenn man schon nicht ausschließen kann, dass US-Geheimdienste an die Daten von EU-Bürgern heranwollen, dann sorgt man wenigstens dafür, dass es nicht übermäßig viel gibt, was sie sich holen könnten.
Denn auch wenn US-Firmen ihre Daten löschen müssen, wenn diese nicht mehr benötigt werden (was immer dies bedeuten mag), so sind die Daten von deutschen Unternehmen auf US-Servern immer noch im Zugriff der US-Behörden.
In Datenschutzkreisen ist man sich sicher, dass auch dieses Abkommen sehr schnell seinen Weg zu einer Prüfung vor dem EuGH finden wird. Und auf Basis des Urteils bezüglich von Safe Harbour steht das Urteil eigentlich schon fest, bevor das Abkommen auch nur ratifiziert war.
Insofern löst Privacy Shield nur in einer Hinsicht Safe Harbour ab: Es ist ein Muster ohne Wert für deutsche Firmen.