Bild: Getty Images / Michael Bocchieri
Die EU-Kommissarin Vera Jourová verteidigt das umstrittene Daten-Abkommen mit den USA.

Im Februar haben sich EU und USA auf neue Regeln für den transatlantischen Datenaustausch geeinigt. Der sogenannte Privacy Shield zog prompt heftige Kritik von Datenschützern auf sich. Nötig geworden ist die Neuregelung, weil der Europäische Gerichtshof (EuGH) die bisherige Vereinbarung namens Safe Harbor für ungültig erklärt hatte.

Im Interview verteidigt EU-Verbraucherschutzkommissarin Vera Jourová die neuen Datenschutzregeln und kündigt an, eine Art Benutzerhandbuch für Beschwerden zu veröffentlichen.

Warum ist der neue "Privatsphäre-Schutzschild" besser als Safe Harbor?

Wir haben ein viel stärkeres System. Es unterscheidet sich radikal vom Safe-Harbor-Abkommen aus dem Jahr 2000. Firmen, die am neuen System teilnehmen wollen, müssen viele Verpflichtungen erfüllen. Ansprüche von Internetnutzern können besser durchgesetzt werden, Europäer können sich leicht Recht verschaffen und – das gab es mit Safe Harbor nie – wir haben schriftliche Versicherungen und Garantien, wenn es um den Zugriff auf Daten durch die US-Regierung geht.

Vera Jourová

Vera Jourová ist seit 2014 die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung. Sie hat die Entscheidung zum "Privacy Shield" maßgeblich mitverhandelt. Bevor Jourová Politikerin wurde, war sie als Beraterin selbstständig. Sie kommt aus der Tschechischen Republik und studierte in Prag Recht und Kulturtheorie.

Das ändert aber nichts an den Praktiken der US-Geheimdienste, die Edward Snowden enthüllt hat, oder?

Unsere Verhandlungen hatten das Ziel, dass es solche Fälle nicht mehr geben wird. Niemand hätte gedacht, dass wir den amerikanischen Geheimdienstkoordinator an den Verhandlungstisch bekommen würden, aber das haben wir geschafft. Die EU-Kommission wird weiter genau beobachten, wie sich die Lage in den USA entwickelt. Wir verlassen uns nicht auf die jährlichen Berichte über den Privacy-Shield-Mechanismus, sondern checken auch Medien und Transparenzberichte von Firmen.

Angenommen, ein deutscher Nutzer vermutet einen Verstoß gegen seine Privatsphäre und will sich beschweren. Was macht er dann?

Er beschwert sich bei der Firma, der er seine Daten gegeben hat. Unserer Erfahrung nach erledigen sich 90 Prozent der Beschwerden schon in diesem frühen Stadium, weil die Firmen tätig werden und Abhilfe schaffen. Der Privacy Shield legt fest, dass Beschwerden innerhalb von 45 Tagen beantwortet werden müssen.

Und wenn ich zu den anderen zehn Prozent gehöre?

Dann haben Sie verschiedene Möglichkeiten: Es gibt eine für Bürger kostenlose Schlichtungsstelle und die nationalen Datenschutzbehörden. In besonderen Fällen kann auch die US-Handelskommission Ansprechpartner sein. Als letzter Ausweg bleibt Ihnen dann noch ein Schiedsgerichtsverfahren. Und Sie können letztlich auch vor Gericht ziehen. Wir planen, zu diesen Möglichkeiten ein Benutzerhandbuch für Bürger herauszugeben, das ihnen erklärt, wie sie vorgehen müssen.

Vera Jourová im EU-Parlament in Straßburg(Bild: dpa / Patrick Seeger)
Die Firmen werden sich für den Privacy Shield selbst zertifizieren. Wie können Bürger feststellen, ob die Aussagen der Firmen stimmen?
Die Teilnahme ist erst einmal freiwillig
Vera Jourová

Die Unternehmen haben ungeduldig auf das neue System gewartet. Nach der Entscheidung des Europäischen Gerichtshofs herrschte rechtliche Unsicherheit. Aus Gesprächen weiß ich, dass viele Firmen sich freiwillig auf die Prinzipien des Privacy Shield verpflichten wollen.

Aber wie können wir überprüfen, ob die Firmen tun, was sie sagen?

Die Teilnahme ist erst einmal freiwillig. Aber wenn eine Firma erklärt hat, dass sie Teil des neuen Systems sein will, dann muss sie sich an die Regeln halten. Die US-Behörden können sie dann gemäß der dortigen Gesetze umsetzen. Mit dem Privacy Shield müssen die US-Behörden Eigeninitiative zeigen und eng mit den europäischen Datenschutzbehörden kooperieren.

Eine neue Ombudsperson im US-Außenministerium soll überwachen, ob der Privacy Shield eingehalten wird. Wird sie den EU-Bürgern wirklich helfen?
Wenn zum Beispiel ein Facebook-Nutzer sich fragt, ob US-Geheimdienste Zugriff auf seine Daten haben, kann er eine direkte Anfrage stellen.
Vera Jourová

Sie wird völlig unabhängig von amerikanischen Geheimdiensten sein. Sie hat die Befugnis zu überprüfen, ob die US-Gesetze eingehalten werden und wird den Bürgern Europas Rede und Antwort stehen.

Kann ein EU-Bürger die Ombudsperson direkt anrufen?

Ja. Wenn zum Beispiel ein Facebook-Nutzer sich fragt, ob US-Geheimdienste Zugriff auf seine Daten haben, kann er eine direkte Anfrage stellen.

Auch die EU hat schon so eine Ombudsperson, Emily O'Reilly. Sie mahnte in einem Brief an Sie, Frau Jourová, dass eine Ombudsperson "sichtbar und nachweislich unabhängig" sein muss und ließ Zweifel aufkommen, ob die neue Ombudsperson in Washington diese Anforderung erfüllt.

Uns war es in den Verhandlungen mit den USA von Beginn an sehr wichtig, dass die Ombudsperson unabhängig ist. Es darf keine Anweisungen vonseiten der US-Geheimdienste geben. Sie berichtet direkt an den Außenminister, das hat John Kerry persönlich versichert.

Und was tut die Ombudsperson, wenn sie einen Verstoß feststellt?

Sie muss bestätigen, dass die Nutzerbeschwerde ordentlich untersucht wurde. Zweitens muss sie bestätigten, dass die relevanten US-Gesetze und Leitlinien des Privacy Shields eingehalten wurden oder – wenn das nicht der Fall war – dass Abhilfe geschaffen wurde. Die Stelle kann aber keine geheimen Informationen herausgeben, die die äußere Sicherheit der USA gefährden könnten. Gleiches gilt auch für eine Ombudsperson in der EU.

Wie soll man dann überprüfen, ob das beanstandete Problem wirklich beseitigt wurde?
Es geht immer ums Vertrauen.
Vera Jourová

Eine Einzelperson kann das nicht. Man muss schon in die einschlägigen Akten schauen können. Mit der neuen Ombudsperson haben wir aber jemanden, der das kann. Wir haben in den Verhandlungen darauf bestanden, dass es eine Person mit der nötigen Sicherheitsfreigabe gibt. Die Ombudsperson ist in der Hierarchieebene der US-Regierung sehr weit oben angesiedelt. Wir vertrauen darauf, dass sie unabhängig und fair genug sein wird, um in ihren Antworten die tatsächliche Situation widerzuspiegeln.

Das glauben Sie einfach so?

Es geht immer ums Vertrauen. Wir haben Zusicherungen von höchster politischer Stelle. Außerdem wird das Arrangement jährlich überprüft. Wir werden beobachten, wie das System funktioniert.

Wie wird die Überprüfung aussehen?
Wenn die Zusagen nicht eingehalten werden, werden wir den Privacy Shield aussetzen.
Vera Jourová

Wir werden schauen, welche Folgen die Zusicherungen der Amerikaner hatten und dazu Informationen von Firmen, Datenschutzbehörden und amerikanischen Stellen wie der Handelskommission heranziehen. Wenn die Zusagen nicht eingehalten werden, werden wir den Privacy Shield aussetzen. Wir haben dazu eine starke Aufhebungsklausel eingebaut. Wenn die Dinge nicht so laufen wie vereinbart, werden wir die Daten von EU-Bürgern nicht in die Falle geraten lassen.

Der Privacy Shield könnte auch wieder ein Fall fürs Gericht werden. Wird die Regelung standhalten?

Die Entscheidung des Europäischen Gerichtshofs war für unsere Verhandlungen der wichtigste Maßstab. Ich bin fest davon überzeugt, dass der Privacy Shield eine gerichtliche Prüfung aushalten wird.

Dieser Text ist zuerst auf SPIEGEL ONLINE erschienen.

Mehr zum Thema Datenschutz: