Privacy Shield: EU-Gremium erzielt noch keine Einigung

RechtRegulierung

Ende letzter Woche scheiterte ein erster Einigungsversuch des sogenannten Ausschuss nach Artikel 31. Im Mai und Anfang Juni sollen weitere Treffen stattfinden. Das Gremium hat – anders als die EU-Datenschützer – ein Vetorecht.

Keine Einigung zum Datenaustauschabkommen Privacy Shield hat Ende letzter Woche der sogenannte Ausschuss nach Artikel 31, der Vertreter aller EU-Mitgliedstaaten umfasst, erzielt. Der Ausschuss nach Artikel 31 hat – im Gegensatz zur Artikel 29 Datenschutzgruppe, die der EU-Kommission nur beratend zur Seite steht – ein Vetorecht. Privacy Shield kann ohne seine Zustimmung also nicht in Kraft treten.

Immer dann, wenn die Zustimmung der Mitgliedsstaaten nötig ist, tritt der Ausschuss gemäß Artikel 31 der EU-Richtlinie 95/46/EG zusammen. Vorsitzender des Ausschusses ist immer ein Mitglied der EU-Kommission, das allerdings nicht stimmberechtigt ist. Alle Entscheidungen müssen außerdem mit einer qualifizierten Mehrheit von mindestens 16 Mitgliedstaaten getroffen werden, die mindestens 65 Prozent der EU-Bevölkerung vertreten.

“Heute gab es ein sehr konstruktives Treffen, und ich glaube, im Lauf des Mai und Anfang Juni wird es mehr geben,” so eine der EU-Kommission nahestehende Quelle dem Magazin Ars Technica gegenüber. Die Arbeit des Gremiums gehe gut voran. Brüssel hoffe, dass es das Abkommen noch im Juni absegne.

Der EU-Kommission bleiben drei Optionen, wenn der Ausschuss nach Artikel 31 seine Zustimmung verweigern oder keine Einigung erzielen sollte. Sie kann auf das Abkommen verzichten, Beschwerde gegen die Entscheidung einlegen oder einen überarbeiteten Entwurf vorlegen. Details zu den derzeit strittigen Punkten sind nicht bekannt.

Die Kommission hatte die EU-Datenschützer schon im April zu einer Überarbeitung des Datenaustauschabkommens aufgefordert. Zwar biete Privacy Shield im Vergleich zum Vorgänger Safe Harbor “signifikante Verbesserungen”, jedoch gebe es noch “ernste Bedenken” in Bezug auf die Unabhängigkeit des Ombudsmanns in den USA und Zugriffen von US-Behörden auf in die USA übertragene Daten. Die Einschränkungen, die sich aus dem Grundsatz ergeben, dass Daten nur zweckbezogen verarbeitet werden dürfen, sind ihrer Ansicht nach zum Beispiel nicht klar genug definiert.

Die EU-Kommission will offenbar einige der von der Artikel 29 Datenschutzgruppe angemahnten Änderungen berücksichtigen. Sie sind aber der Quelle von Ars Technica zufolge noch nicht Bestandteil des Entwurfs, der dem Ausschuss nach Artikel 31 derzeit vorliegt.

Das im Oktober 2015 vom EU-Gerichtshof einkassierte Vorgängerabkommen Safe Harbor soll durch die neue Vereinbarung ersetzt werden. Ob Privacy Shield nun den Vorgaben des Gerichts entspricht, ist unklar. Die Artikel 29 Datenschutzgruppe selbst weist darauf hin, dass bisher nur ein Entwurf von Privacy Shield vorliegt. Da Privacy Shield auch den neuen höheren Anforderungen genügen müsse, will die Gruppe eine abschließende Aussage sogar erst nach Verabschiedung der neuen EU-Datenschutzgesetze im Jahr 2018 treffen.

Dass immer mehr Cloud-Anbieter auf regionale Rechenzentren setzen, liegt auch an der Ungewissheit rund um Privacy Shield. Dazu zählen unter anderem Microsoft, Salesforce.com und SugarCRM, die hierzulande auf die Dienste von T-Systems zurückgreifen. Der Speicherdienst Box kündigte außerdem unlängst an, Unternehmen eine Auswahlmöglichkeit zur regionalen Datenspeicherung in Europa und Asien zu bieten. Firmen, die Daten ihrer Kunden oder auch Mitarbeiter außerhalb der EU speichern, könnten ohne eine rechtliche Grundlage wie Safe Harbor oder Privacy Shield gegen Datenschutzgesetze verstoßen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit 14 Fragen auf ITespresso.