Erstellt am: 7. 2. 2016 - 19:00 Uhr

Bei "Safe Harbour 2" droht EU-Kapitulation

Laut Brüsseler Diplomatenkreisen sind gerade die zentralen Streitpunkte mit den USA im neuen Datenschutzabkommen "Privacy Shield" noch immer nicht geklärt.

Die Verhandlungen zum Freihandelsabkommen TTIP zwischen der EU und den USA gehen am 22. Februar in die zwölfte Runde. Laut EU-Handelskommissarin Cecilia Malmström könnte ein vorläufiges Ergebnis bereits im Juni feststehen. TTIP setzt allerdings den freien, transatlantischen Fluss der Daten voraus und die betreffende "Safe Harbour"-Vereinbarung wurde vom Europäischen Gerichtshof (EuGH) im Herbst aufhoben. Ein Nachfolgeabkommen hätte bereits am 31. Jänner vorliegen müssen, präsentiert wurden am Dienstag jedoch nur ein Logo und der neue Name "Privacy Shield".

Nach ORF.at vorliegenden aktuellen Informationen aus Diplomatenkreisen in Brüssel kann es ein solches Abkommen jedoch nur dann zeitgerecht geben, wenn Europa beim Datenschutz in allen wichtigen Punkten kapituliert. Laut diesen Quellen waren gerade die Hauptstreitpunkte des Abkommens zum Zeitpunkt der Präsentation noch offen. Sicher ist bis jetzt nur, dass "Privacy Shield" nicht einmal Vertragscharakter haben und nichts davon in den USA gesetzlich verankert wird. Angeblich hatten die EU-Verhandler eine gesetzlich abgesicherte Vereinbarung nicht einmal verlangt.

Offene Widersprüche

Privacy Shield

Mehr zum am Dienstag präsentierten Logo weiter unten

Der allerwichtigste Punkt, nämlich wann welche US-Behörden auf wie viele dieser personenbezogenen Daten aus Europa Zugriff haben, ist bis jetzt überhaupt nicht geklärt. Die von den Europäern geforderten Beschränkungen dieser Zugriffe sowie die Maßnahmen zum Datenschutz sind daher ebenso wenig ausverhandelt, wie auch bis jetzt noch keine einzige verbindliche Zusage von irgendeiner US-Behörde vorliegt. Diese sei aber unerlässlich, denn Zusagen von Firmen allein genügten nicht, auch seien im privaten Sektor die Instrumente für Kontrollmaßnahmen noch nicht ausdefiniert - so wurde ein hoher Vertreter der Kommission zitiert.

Justizkommissarin Vera Jourova hatte bei der Präsentation von "Privacy Shield" hingegen erklärt, dass es "zum ersten Mal verbindliche Zusagen der USA" gebe und der Zugang von "Strafverfolgungsbehörden und Sicherheitsdiensten zu den Daten strikten Auflagen unterliegen" werde. Ob und wieweit diese aus europäischer Sicht erstrebenswerten Ziele erreicht werden können, steht aber in den Sternen, wenn Vertreter der verhandelnden Kommission zwar einen Abschluss verkünden, aber bis dahin nicht eine ihrer zentralen Forderungen als durchgesetzt präsentieren können.

JOHN THYS / AFP / picturedesk.com

Max Schrems, dessen Klage das "Safe Harbour"-Regime zu Fall brachte, nach der Entscheidung des EuGH im Oktober 2015

Ein unglaubwürdiger Zeuge

Das Einzige, worauf die Kommissarin verweisen konnte, waren Schreiben aus dem Büro des Obersten Geheimdienstkoordinators James R. Clapper, in denen zugesichert wurde, dass es keine Massenüberwachung dieser Daten durch die Geheimdienste der USA geben werde. Clapper hatte bei einem Senatshearing im März 2013 öffentlіch behauptet, dass die NSA die Kommunikation amerikanischer Bürger nicht überwache und wenn, dann höchstens versehentlich. Wenige Monate danach zeigten die Enthüllungen Edward Snowdens, dass die NSA systematisch alle Metadaten aus den Telefonienetzen der USA jahrelang abgegriffen hatte. Dieser Vollzugriff wurde auf Anordnung von Präsident Barack Obama erst im Herbst 2015 abgestellt.

Public Domain

Screenshot des Livestreams der Pressekonferenz von Justizkommissarin Vera Jourova am Dienstag

Seither wird gerätselt, warum die Kommissarin den unweigerlich folgenden "Shitstorm" riskierte, indem sie ausgerechnet den unglaubwürdigsten aller nur denkbaren US-Spitzenbeamten als Zeugen dafür anführte, dass die neue Vereinbarung "Privacy Shield" den Vorgaben des EuGH entspräche. Bei allen anderen transatlantischen Abkommen der letzten 15 Jahre, wie etwa jenes zum Generalabgriff personenbezogener Daten aus dem Flugverkehr ("Passenger Name Records", PNR) durch die USA, waren die Verhandlungen strukturell zum Verwechseln ähnlich verlaufen.

Transatlantische Verhandlungsmuster

Bei jeder periodischen Erneuerung dieser zeitlimitierten PNR-Abkommen hatte die EU-Kommission erst angekündigt, dass man die aus europäischer Sicht problematische vorherige Regelung bis zur vollständigen Rechtskonformität verbessern müsse. Man sei sehr optimistisch, dass zusammen mit den USA ein gutes Ergebnis erreicht werden könne, hieß es stets aus Europa, die USA äußerten sich zu diesem frühen Zeitpunkt in der Regel jedoch nicht. Erst Monate danach, wann immer die US-Unterhändler der Ansicht waren, jetzt habe man lange genug mit den Europäern verhandelt, dann wurde Wochen vor dem Fristablauf unilateral eine bevorstehende Einigung verkündet.

Public Domain

Dieses Foto von der Vereidigung James Clappers machte nach Bekanntwerden des "Privacy Shield" sofort als "Meme" im Netz die Runde

Die EU-Kommission verwies dagegen auf immer noch bestehende Probleme. Wenn das neue PNR-Abkommen dann - stets mit Verspätung - präsentiert wurde, war es bis auf eher unbedeutende Details identisch mit dem vielkritisierten Vorgängervertrag. Dieselbe Prozedur spielt sich seit zehn Jahren rund um den Abgriff der Finanzdaten aus dem SWIFT-System periodisch ab, auch "Privacy Shield" folgte bis jetzt einem ganz ähnlichen Schema. Hier hatten die USA schon Anfang Jänner eine kurz bevorstehende Einigung verkündet.

"Workaround" hinter den Kulissen

Was da hinter den Kulissen zu den zentralen Forderungen der EU noch ausverhandelt wird, kann nur eine Art "Workaround" sein, der auf den bestehenden Gesetzen der USA aufsetzt und diese irgendwie mit dem mittlerweile allgemein als "Schrems-Urteil" bezeichneten Urteil des EuGH kompatibel machen soll. Über den von Justizkommissarin Jourova angedeuteten "Workaround" mit einem Ombudsmann könnten zum Beispiel die vom EuGH geforderten individuellen Einsichts- und Beschwerderechte europäischer Bürger wenigstens formal umgesetzt werden.

Das wiederum könnte über das im Herbst mit den USA verabschiedeten "Umbrella Agreements" und dem begleitenden "Judicial Redress Act" erfolgen, die allerdings beide explizit auf den Datenaustausch von Strafverfolgern zugeschnitten sind. Die Verhandlungen dafür wurden bereits 2010 begonnen, verabschiedet wurde das Gesetzespaket erst im September 2015. Angesichts der veränderten Weltlage und des unmittelbar bevorstehenden EuGH-Urteils befürchteten die USA, keine Daten über potenzielle Terroristen aus Europa zu bekommen.

Public Domain

Der "Judicial redress Act" wurde von James Sensenbrenner im März 2015 im Repräsentantenhaus eingebracht und danach im Senat verwässert

"Unsere Einreisekontrollen sind gegen Kriminelle oder Terroristen, die mit europäischen Pässen unterwegs sind, weitgehend machtlos", schrieb der einflussreiche Abgeordnete zum Repräsentantenhaus James Sensenbrenner (Republikaner) Anfang September in einem Gastkommentar. Deshalb brauche man die Europäer und müsse deren Vertrauen zurückgewinnen, das durch die Snowden-Leaks arg beschädigt worden sei. Den "Judicial Redress Act" bezeichnet der Koautor des "US Patriot Act" von 2002 als wichtigen Schritt. Die in "Privacy Shield" angestrebte Regelung wird also ziemlich sicher auf diesen beiden Regelungen aufsetzen, nach Ansicht der Rechtsinformatiker Walter Hötzendorfer und Prof. Erich Schweighofer (Universität Wien) seien nur geringe Änderungen an "Judicial Redress" nötig, um es als begleitende Rechtsschutzmaßnahme für ein erneuertes "Safe Harbour"-Abkommen tauglich zu machen. Da aktuell keine weiteren Gesetzesänderungen vorgesehen sind, kann das nur über eine Regelung mit Ombudsmann geschehen, für die es bis jetzt keine bindende Verpflichtung gibt.

TTIP und TISA

Unter diesen rechtlich wenig vertrauenswürdigen Auspizien des "freien transatlantischen Flusses der Daten" trafen am Dienstag dazu die Wirtschaftsminister der EU-Staaten in Amsterdam zu Gesprächen über die Freihandelsabkommen zusammen, am Mittwoch verabschiedete das Parlamentsplenum eine Resolution zum TTIP-Schwesterabkommen TISA. Die Verhandlungen dazu sollen bereits Ende März ins Finale gehen, und auch die Endfassung des mit Kanada schon ausverhandelten Freihandelsvertrags CETA sollte noch vor dem Sommer dem EU-Parlament zur Abstimmung vorgelegt werden.

In allen Fällen hat hier das EU-Parlament das letzte Wort, nicht aber bei "Privacy Shield". Rechtlich gesehen ist das weder ein Gesetz noch ein Vertrag, sondern ein unilateraler Beschluss der Kommission, eine sogenannte "Adäquanzentscheidung". Wie allen Informationen aus Brüssel zu entnehmen ist, plagt die Kommissionsvertreter nur eine einzige Sorge, ob nämlich das Ergebnis dem EuGH genügen und damit Rechtssicherheit für europäische Firmen beim Datenaustausch mit den USA gegeben sein wird.

MidwaySailor

Ausblick auf "Privacy Storm"

Was das pathetische Logo von "Privacy Shield" betrifft, so ist die Entscheidung dafür ebenso unglücklich wie die Idee, ausgerechnet James Clapper, der seit seinem Auftritt von 2013 im Kongress in der US-Öffentlichkeit als Lügner dasteht, als Zeugen anzuführen. Die Operation "Desert Shield" setzte nämlich 1990 den Auftakt zum ersten Golfkrieg der USA gegen den Irak unter Saddam Hussein, der unter dem Codewort "Desert Storm" stand. Im Fall von "Privacy Shield" ist eine ähnliche Entwicklung zu erwarten, wenn die Kommission ihre "Adäquanzentscheidung" nicht durch ein dem irgendwie entsprechendes Abkommen untermauert, sondern vor den USA kapituliert.