Der sogenannte EU-US-Datenschutzschild ("Privacy Shield") ist eine informelle Absprache zwischen der Europäischen Union und den USA auf dem Gebiet des Datenschutzrechts und soll den Schutz personenbezogener Daten garantieren, die aus einem EU-Mitgliedsstaat nach Amerika übertragen werden.
Doch nun hat der Europäische Datenschutzausschuss (EDSA) in einem Bericht zur Einhaltung dieser Absprache eine ganze Reihe schwerer Verstöße festgestellt. Der EDSA ist ein Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt.
Der EU-US-Datenschutzschild war in den Jahren 2015 bis 2016 zwischen der EU-Kommission und der US-Regierung ausgehandelt worden, nachdem der Europäische Gerichtshof das sogenannte Safe-Harbor-Abkommen für ungültig erklärt hatte. Denn diese zuvor bestehende Absprache stellte den Schutz europäischer Daten nicht sicher.
Laut US-Recht waren die dortigen Unternehmen jederzeit und ohne Einschränkungen dazu verpflichtet, das Abkommen mit der EU praktisch zu ignorieren und personenbezogene Daten von Bürgern von Mitgliedsstaaten der Europäischen Union an die amerikanischen Sicherheitsbehörden herauszugeben.
Weiter kritisierte damals der Europäische Gerichtshof, dass es in den USA keinerlei Regeln gab, um die Zugriffe der amerikanischen Sicherheitsbehörden auf die Daten der Bürger zu begrenzen. Auch gab es keinen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe der amerikanischen Behörden.
Im Jahr 2016 sollten dann mit dem Nachfolgeabkommen, das in kurzer Zeit zwischen EU-Kommission und US-Regierung ausgehandelt wurde, die Probleme behoben werden. Doch laut dem Bericht des Europäischen Datenschutzausschusses (EDSA) garantiert auch der EU-US-Datenschutzschild trotz erfolgter Korrekturen weiterhin keinen ausreichenden Datenschutz.
Zunächst handelt es sich bei dem EU-US-Datenschutzschild nicht um ein echtes Abkommen, sondern lediglich um eine Reihe von Zusicherungen der amerikanischen Regierung, welche die Europäische Kommission in einem Beschluss vom Juli 2016 für ausreichend erklärte.
Das Abkommen enthält Grundsätze zum Datenschutz, die von den amerikanischen Unternehmen eingehalten werden sollen, sowie schriftliche Zusicherungen der US-Regierung, den Datenzugriff durch amerikanische Behörden zu beschränken.
Die Bürger der EU-Mitgliedsstaaten sollen sich dem Abkommen zufolge sogar an einen Ombudsmann beim US-Außenministerium wenden können, der sich um die Wahrung ihrer Rechte kümmern und mögliche Verstöße gegen den Datenschutz überprüfen lassen soll.
Tatsächlich wurde im September 2018 eine vorübergehende Ombudsfrau ernannt. Doch der Europäischen Datenschutzausschuss fordert, dass endlich ein dauerhafter Ombudsmann ernannt wird. Vor allem aber kritisiert er , dass die Kompetenzen des Ombudsmanns vor allem gegenüber den US-Sicherheitsbehörden geheim sind.
Auf der Grundlage der bisher erhaltenen Informationen gehen die Datenschützer zudem davon aus, dass die Kompetenzen des Ombudsmanns vor allem gegenüber den Geheimdiensten „noch immer nicht ausreichend“ sind, um den Datenschutz von EU-Bürgern tatsächlich zu gewährleisten.
Zudem ist weiter unklar, ob EU-Bürger tatsächlich vor ein amerikanisches Gericht ziehen können, wenn US-Geheimdienste gegen ihren Datenschutz verstoßen haben. Dies ist dem EDSA zufolge in der Praxis kaum möglich.
Ein weiterer Kritikpunkt der Datenschützer ist, dass die amerikanischen Aufsichtsbehörden, die eigentlich sicherstellen sollen, dass die US-Unternehmen korrekt mit den Daten von Europäern umgehen, keinerlei substanzielle Kontrollen durchführen. Das US-Handelsministerium kontrolliere wenn überhaupt nur Formalien.
Daher bleibe zum Beispiel das Problem der Weitergabe der Daten von EU-Bürgern durch US-Unternehmen an Drittländer bestehen. Wegen fehlender Kontrolle könnten die Daten weiterhin in Drittländer übertragen werden, wo kein Datenschutz besteht, so der Bericht.
Im Hinblick auf die US-Sicherheitsbehörden kritisieren die europäischen Datenschützer, dass die Amerikaner trotz aller Vereinbarungen auch weiterhin „massenhaft und wahllos“ auf die Daten der Bürger in den EU-Mitgliedsstaaten zugreifen.
