Wichtiges EU-Gremium findet keine Einigung zu Privacy Shield

Der sogenannte Ausschuss nach Artikel 31, der Vertreter aller EU-Mitgliedstaaten umfasst, hat Ende vergangener Woche keine Einigung zum Datenaustauschabkommen Privacy Shield erzielt. Im Gegensatz zur Artikel 29 Datenschutzgruppe, die der EU-Kommission nur beratend zur Seite steht, hat der Ausschuss nach Artikel 31 ein Vetorecht. Ohne seine Zustimmung kann Privacy Shield also nicht in Kraft treten.

Der Ausschuss tritt gemäß Artikel 31 der EU-Richtlinie 95/46/EG immer dann zusammen, wenn die Zustimmung der Mitgliedstaaten erforderlich ist. Vorsitzender des Ausschusses ist stets ein Mitglied der EU-Kommission, das jedoch nicht stimmberechtigt ist. Zudem müssen alle Entscheidungen mit einer qualifizierten Mehrheit von mindestens 16 Mitgliedstaaten getroffen werden, die mindestens 65 Prozent der EU-Bevölkerung vertreten.

Eine der EU-Kommission nahestehende Quelle sagte dem Magazin Ars Technica: „Heute gab es ein sehr konstruktives Treffen, und ich glaube, im Lauf des Mai und Anfang Juni wird es mehr geben.“ Die Arbeit des Gremiums gehe gut voran. Brüssel hoffe, dass es das Abkommen noch im Juni absegne.

Sollte der Ausschuss nach Artikel 31 seine Zustimmung verweigern oder keine Einigung erzielen, bleiben der EU-Kommission drei Optionen: Sie kann auf das Abkommen verzichten, Beschwerde gegen die Entscheidung einlegen oder einen überarbeiteten Entwurf vorlegen. Details zu den derzeit strittigen Punkten sind nicht bekannt.

Schon im April hatten die EU-Datenschützer die Kommission aufgefordert, das Datenaustauschabkommen zu überarbeiten. Privacy Shield biete im Vergleich zum Vorgänger Safe Harbor zwar „signifikante Verbesserungen“, es gebe aber noch „ernste Bedenken“ in Bezug auf die Unabhängigkeit des Ombudsmanns in den USA und Zugriffen von US-Behörden auf in die USA übertragene Daten. Ihrer Ansicht nach sind beispielsweise die Einschränkungen, die sich aus dem Grundsatz ergeben, dass Daten nur zweckbezogen verarbeitet werden dürfen, nicht klar genug definiert.

Einige der von der Artikel 29 Datenschutzgruppe angemahnten Änderungen will die EU-Kommission offenbar berücksichtigen. Der Quelle von Ars Technica zufolge sind sie aber noch nicht Bestandteil des Entwurfs, der dem Ausschuss nach Artikel 31 derzeit vorliegt.

Die neue Vereinbarung soll das im Oktober 2015 vom EU-Gerichtshof einkassierte Vorgängerabkommen Safe Harbor ersetzen. Unklar ist, ob Privacy Shield nun den Vorgaben des Gerichts entspricht. Die Artikel 29 Datenschutzgruppe selbst weist darauf hin, dass bisher nur ein Entwurf von Privacy Shield vorliegt. Eine abschließende Aussage will die Gruppe sogar erst nach Verabschiedung der neuen EU-Datenschutzgesetze im Jahr 2018 treffen, da Privacy Shield auch den neuen höheren Anforderungen genügen müsse.

Die Ungewissheit rund um Privacy Shield hat auch dazu geführt, dass immer mehr Cloud-Anbieter auf regionale Rechenzentren setzen. Dazu zählen unter anderem Microsoft, Salesforce.com und SugarCRM, die hierzulande die Dienste von T-Systems nutzen. Der Speicherdienst Box kündigte zudem kürzlich an, Unternehmen eine Auswahlmöglichkeit zur regionalen Datenspeicherung in Europa und Asien zu bieten. Ohne eine rechtliche Grundlage wie Safe Harbor oder Privacy Shield könnten Firmen, die Daten ihrer Kunden oder auch Mitarbeiter außerhalb der EU speichern, gegen Datenschutzgesetze verstoßen.

[mit Material von Tom Jowitt, TechWeekEurope]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.