Privacy Shield: auch EU-Datenschutzbeauftragter lehnt Entwurf ab

Scharfe Kritik hat jetzt der europäische Datenschutzbeauftrage an dem Ende Februar veröffentlichten Entwurf des geplanten Datenaustauschabkommens mit den USA geübt. Seiner offiziellen Stellungnahme zufolge (PDF) wird eine “robustere und nachhaltigere Lösung benötigt” als Privacy Shield. Außerdem rechnet er damit, dass das Abkommen einer Überprüfung durch den EU-Gerichtshof nicht standhalten wird.

“Ich bin mir der Anstrengungen bewusst, die unternommen wurden, um eine Lösung zu entwickeln, die Safe Harbour ersetzt, aber Privacy Shield ist in der vorliegenden Form nicht robust genug, um eine künftige gerichtliche Überprüfung zu überstehen”, erklärt der Datenschutzbeauftrage Giovanni Buttarelli. Es seien erhebliche Verbesserungen erforderlich, um die wichtigsten Datenschutzprinzipien umzusetzen. Außerdem sei es an der Zeit für die Entwicklung einer “langfristigen Lösung im transatlantischen Dialog”.

Der Datenschutzbeauftragte vermisst auch einen angemessenen Schutz vor wahlloser Überwachung. Außerdem hält er die Regelungen für eine Kontrolle des Abkommens, Beschwerden von Betroffenen und Transparenz für unzureichend. Zudem verlangt er eine Gleichbehandlung nach EU- und US-Recht. Buttarelli, der den EU-Institutionen beratend zur Seite steht, weist auch darauf hin, dass Privacy Shield die Anforderungen der neuen EU-Datenschutzrichtlinie erfüllen muss, die im Mai 2018 EU-weit in Kraft treten soll. Die neue Richtlinie gelte auch für die Übertragung von Daten in die USA. Die Gesetzgeber sollten sich deswegen Zeit nehmen, um eine langfristige Lösung zu finden.

Die Artikel 29 Datenschutzgruppe hatte sich im April schon ähnlich geäußert. Es war die Rede von “signifikanten Verbesserungen” im Vergleich zum Privacy-Shield-Vorgänger Safe Harbour, die EU-Kommission müsse aber noch “ernste Bedenken” in Bezug auf verschiedene Details wie die Unabhängigkeit des Ombudsmanns in den USA ausräumen. Die Gruppe betonte ebenfalls, dass Privacy Shield erst nach Inkrafttreten der neuen EU-Datenschutzgesetze im Jahr 2018 abschließend bewertet werden kann.

Noch keine Einigung zu Privacy Shield hat bisher auch der sogenannte Ausschuss nach Artikel 31, der Vertreter aller EU-Mitgliedstaaten umfasst, erzielt. Im Gegensatz zur Artikel 29 Datenschutzgruppe und dem EU-Datenschutzbeauftragten hat er ein Vetorecht. Entscheidungen fällt der Ausschuss mit einer qualifizierten Mehrheit von mindestens 16 Mitgliedstaaten, die mindestens 65 Prozent der EU-Bevölkerung vertreten.

Dass immer mehr Cloud-Anbieter auf regionale Rechenzentren setzen, ist auch auf die Ungewissheit rund um Privacy Shield zurückzuführen. Zu den Unternehmen zählen unter anderem Microsoft, Salesforce.com und SugarCRM, die hierzulande die Dienste von T-Systems nutzen. Der Speicherdienst Box kündigte zudem kürzlich an, Unternehmen eine Auswahlmöglichkeit zur regionalen Datenspeicherung in Europa und Asien zu bieten. Ohne eine rechtliche Grundlage wie Safe Harbor oder Privacy Shield könnten Firmen, die Daten ihrer Kunden oder auch Mitarbeiter außerhalb der EU speichern, gegen Datenschutzgesetze verstoßen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.