Was mit unseren Daten in den USA passiert

Nachdem der Europäische Gerichtshof das völlig ineffektive Safe-Harbour-Abkommen gekippt hatte, das den Strom europäischer Daten in die USA legalisierte, schloss die EU-Kommission 2016 schnell eine Nachfolgevereinbarung mit der US-Regierung namens Privacy Shield. Es garantiert angeblich Datenschutz nach europäischen Standards, wenn unsere Daten in die USA gehen. Ein neuer Bericht der Europäischen Datenschutzbehörde zeigt, was davon zu halten ist.

Privacy Shield ist lediglich eine informelle Absprache, die aus einer Reihe von Zusicherungen der US-Regierung besteht, die per Beschluss der EU-Kommission von Juli 2016 für ausreichend erklärt wurden. Das European Data Protection Board (EDPB) ist eine unabhängge EU-Behörde, bestückt mit Vertretern nationaler Datenschutzbehörden. Sie war an der zweiten Überprüfung von Privacy Shield durch die EU-Kommission Ende 2018 beteiligt und hat Ende Januar einen Bericht veröffentlicht, namens „EU – U.S. Privacy Shield – Second Annual Joint Review, Adopted on 22 January 2019“.

Darin steht, was von den Zusicherungen der US-Regierung nur auf dem Papier steht und dieses nicht wert ist: Eine kleine Auswahl:

– Die Kompetenzen des Bürgerbeauftragten (Ombudsman) in den USA, der sich um die Wahrung der Rechte von EU-Bürgern kümmern soll, vor allem gegenüber den US-Sicherheitsbehörden, sind geheim. Die Datenschützer gehen davon aus, dass sie nicht ausreichen, was wahrscheinlich noch ein Euphemismus ist.

– Ob es für EU-Bürger eine Möglichkeit gibt, vor Gerichte zu gehen, ist unklar.

– Die Behörden, die dafür sorgen sollen, dass US-Firmen, die Daten von Europäern verarbeiten, sich an die Regeln halten, führen keinerlei substanzielle Kontrollen durch. Sie kontrollieren allenfalls Formalien.

– Die Weitergabe von Daten von EU-Bürgern durch US-Firmen an Drittländer ist diffus geregelt und wird nicht kontrolliert.

– Es scheint keine Sicherungen gegen den massenhaften und wahllosen („massive and indiscriminate“) Zugriff amerikanischer Sicherheitsbehörden auf Daten von EU-Bürgern bei US-Unternehmen zu geben.

Warnend schließen die Datenschützer das Executive Summary mit dem Satz:

„Das EDPB erinnert daran, dass dieselben Sorgen auch Thema für den Europäischen Gerichtshof sein werden, wenn er sich mit den Fällen befasst, die dort bereits anhängig sind.“

Man darf sicher sein, dass die Kommission im Fall einer Niederlage vor Gericht sofort ein neues „Noch-tollerer-Datenschutz“-Abkommen mit der US-Regierung aushandeln wird, wissend, dass es wieder nur pro-forma sein wird. Denn, dass Google, Microsoft, Facebook und die US-Regierung Datenschutzbestimmungen einhalten oder die Finger von unseren Daten lassen müssen, darf nicht einmal in Erwägung gezogen werden.  

Und in dieser Situation macht die Bundesregierung den Anschluss aller Arztpraxen an die elektronsiche Patientenakte zur Pflicht, wissend, dass US-Unternehmen eine große Rolle auf dem Markt für Gesundheitsapps spielen werden, die auf diese Daten zugreifen. Das ist ein schon fast kriminell verantwortlungsloser Umgang mit unseren sensibelsten Daten.

[13.3.2019]

Print Friendly, PDF & Email