Auch EU-Datenschutzbeauftragter lehnt Privacy Shield ab

Der Europäische Datenschutzbeauftrage hat den Ende Februar veröffentlichten Entwurf des geplanten Datenaustauschabkommens mit den USA scharf kritisiert. Seiner offiziellen Stellungnahme zufolge (PDF) wird eine „robustere und nachhaltigere Lösung benötigt“ als Privacy Shield. Zudem geht er davon aus, dass das Abkommen einer Überprüfung durch den EU-Gerichtshof nicht standhalten wird.

„Ich bin mir der Anstrengungen bewusst, die unternommen wurden, um eine Lösung zu entwickeln, die Safe Harbour ersetzt, aber Privacy Shield ist in der vorliegenden Form nicht robust genug, um eine künftige gerichtliche Überprüfung zu überstehen“, sagte der Datenschutzbeauftrage Giovanni Buttarelli. Um die wichtigsten Datenschutzprinzipien umzusetzen, seien erhebliche Verbesserungen notwendig. Zudem sei es Zeit, eine „langfristige Lösung im transatlantischen Dialog“ zu entwickeln.

Buttarelli vermisst unter anderem einen adäquaten Schutz vor wahlloser Überwachung. Zudem hält er die Regelungen für eine Kontrolle des Abkommens, Beschwerden von Betroffenen und Transparenz für unzureichend. Außerdem fordert er eine Gleichbehandlung nach EU- und US-Recht.

Der Datenschutzbeauftrage, der den EU-Institutionen beratend zur Seite steht, weist auch darauf hin, dass Privacy Shield die Anforderungen der neuen EU-Datenschutzrichtlinie erfüllen muss, die im Mai 2018 EU-weit in Kraft treten soll. Sie gelte auch für die Übertragung von Daten in die USA. Die Gesetzgeber sollten sich deswegen Zeit nehmen, um eine langfristige Lösung zu finden.

Ähnlich hatte sich auch schon im April die Artikel 29 Datenschutzgruppe geäußert. Sie sprach zwar von „signifikanten Verbesserungen“ im Vergleich zum Privacy-Shield-Vorgänger Safe Harbour, die EU-Kommission müsse aber noch „ernste Bedenken“ in Bezug auf verschiedene Details wie die Unabhängigkeit des Ombudsmanns in den USA ausräumen. Die Gruppe betonte ebenfalls, dass Privacy Shield erst nach Inkrafttreten der neuen EU-Datenschutzgesetze im Jahr 2018 abschließend bewertet werden kann.

Auch der sogenannte Ausschuss nach Artikel 31, der Vertreter aller EU-Mitgliedstaaten umfasst, hat bisher noch keine Einigung zu Privacy Shield erzielt. Er hat im Gegensatz zur Artikel 29 Datenschutzgruppe und dem EU-Datenschutzbeauftragten ein Vetorecht. Entscheidungen fällt der Ausschuss mit einer qualifizierten Mehrheit von mindestens 16 Mitgliedstaaten, die mindestens 65 Prozent der EU-Bevölkerung vertreten.

Die Ungewissheit rund um Privacy Shield hat auch dazu geführt, dass immer mehr Cloud-Anbieter auf regionale Rechenzentren setzen. Dazu zählen unter anderem Microsoft, Salesforce.com und SugarCRM, die hierzulande die Dienste von T-Systems nutzen. Der Speicherdienst Box kündigte zudem kürzlich an, Unternehmen eine Auswahlmöglichkeit zur regionalen Datenspeicherung in Europa und Asien zu bieten. Ohne eine rechtliche Grundlage wie Safe Harbor oder Privacy Shield könnten Firmen, die Daten ihrer Kunden oder auch Mitarbeiter außerhalb der EU speichern, gegen Datenschutzgesetze verstoßen.

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.