EU-US Privacy Shield: Eine Verbesserung für Unternehmen und Bürger?

europa 04
Fachbeitrag

Das vielbeachtete Safe Harbor-Urteil des EuGH war ein Paukenschlag. Der EuGH hatte mit dieser Entscheidung die bisherige Praxis der Datenübermittlung zwischen Europa und den USA faktisch für unwirksam erklärt. Die Politik stand unter erheblichen Handlungsdruck und hat gestern ein neues Abkommen vorgestellt, dass das Safe Harbor-Abkommen ersetzen soll: das EU-US Privacy Shield-Abkommen. Was bedeutet das neue Abkommen nun für Unternehmen und Verbraucher? Ein erster Ausblick.

Datenschutz-Abkommen zwischen EU und USA – Warum ist das notwendig?

Die Notwendigkeit eines Datenschutz-Abkommens zwischen der EU und den USA ergibt sich aus Art. 25 RICHTLINIE 95/46/EG (Datenschutzrichtlinie), der seine erforderliche Umsetzung in deutsches Recht in § 4 b BDSG gefunden hat. Demnach ist eine Übermittlung in Drittstaaten – also außereuropäische Staaten – nur dann gestattet, wenn in dem Drittstaat ein angemessenes Datenschutzniveau gewährleistet ist. Tatsächlich wird das Datenschutzniveau in den USA als nicht ausreichend erachtet.

Um gleichwohl eine – fraglos wohl außerordentlich wichtige – Möglichkeit zu schaffen, Daten an z.B. US-amerikanische Unternehmen rechtmäßig zu übermitteln, wurde das sog. Safe Harbor-Abkommen geschlossen. Das Safe Harbor-Abkommen sah vor, dass sich Unternehmen beim US-amerikanischen Handelsministerium zertifizieren lassen konnten und eine Übermittlung von Daten an solche zertifizierten Unternehmen gestattet war.

Das Safe Harbor-Urteil des EuGH und die Folgen

Am 06.Oktober 2015 erfolgte dann der Paukenschlag des EuGH: das Safe Harbor-Abkommen wurde als unzureichend erachtet, um die gesetzlich geforderte Angemessenheit des Datenschutzniveaus zu gewährleisten.

Die Begründung des EuGH stütze sich im Wesentlichen auch auf die durch Edward Snowden gekannt gewordenen Überwachungen des Datenverkehrs durch verschiedene US-amerikanische Dienste.

In der Konsequenz bedeutete das Urteil des EuGH, dass jedwede Datenübermittlung von Daten aus Europa in die USA untersagt ist. Mit enormen Folgen für z.B. die Wirtschaft, aber auch europäische Bürger. Auch die Übermittlung persönlicher Daten an Facebook, Google, Apple, Microsoft u.a. wäre betroffen gewesen. Vor diesem Hintergrund wurde zunächst ein Moratorium bis zum 31.01.2016 beschlossen. Bis zu diesem Datum sollte ein neues, “Safe Harbor 2.0”-Abkommen verhandelt und geschlossen werden.

EU-US Privacy Shield: Details erst in 3 Monaten

Gestern – am 02.02.2016 – haben die Verhandlungsführer der Europäischen Union und der USA nun einen Nachfolger für das Safe Harbor-Abkommen vorgestellt: das EU-US Privacy Shield-Abkommen. Das Abkommen soll deutliche Verbesserungen beinhalten und so den Schutz europäischer Daten bei zertifizierten US-amerikanischen Unternehmen sicherstellen. Der genaue Inhalt des Abkommens ist derzeit noch nicht bekannt – soll aber in drei Monaten bekannt gegeben werden.

Der offiziellen Pressemitteilung können folgende Punkte entnommen werden:

  • Strenge Datenschutz-Auflagen für US-Unternehmen, die Daten aus der Europäischen Union verarbeiten:
    • Überwachung durch das US-Handelsministerium
    • Verpflichtung zur Veröffentlichung von Unternehmensdatenschutz-Richtlinien. Verstöße gegen die eigenen Unternehmensrichtlinien sind in den USA durch eine staatliche Kommission verfolgbar.
    • Bei der Verarbeitung von Personaldaten sind US-Unternehmen zudem verpflichtet, Entscheidungen europäischer Datenschutzbehörden zu beachten.
  • Klare Schutzmechanismen und Verpflichtungen zur Transparenz für Zugriffsmöglichkeiten von staatlichen Einrichtungen:
    • Die USA haben schriftlich erklärt, den Zugriff von staatlichen Stellen zu limitieren und Schutzmechanismen zu ergreifen.
    • Zugriffe dürfen nur noch in Ausnahmefällen und in einem Umfang erfolgen, der notwendig und verhältnismäßig ist. Eine undifferenzierte Massenüberwachung soll ausgeschlossen werden. Die Einhaltung dieser Regeln soll jährlich überprüft werden.
  • Verbesserung des Schutzes von europäischen Bürgern:
    • US-Unternehmen müssen innerhalb gewisser Fristen auf Beschwerden von Bürgern reagieren.
    • Beschwerden können von europäischen Datenschutzbehörden u.a. an das US-Handelsministerium weitergegeben werden.
    • Für Beschwerden gegen US-amerikanische Geheimdienste soll ein Ombudsmann zuständig werden.

Erste Reaktionen: Große Bedenken und teils heftige Kritik

Bullshitbingo

In ersten Reaktionen zu den bislang bekannten Details zum EU-US Privacy Shield Abkommen wurde in der deutschen Presse und auch von bekannten Datenschützern teilweise heftige Kritik an dem neuen Abkommen geübt. So wird der Kläger im Safe Harbor-Verfahren – Max Schrems – mit der Äußerung zitiert, bei der Vereinbarung handele es sich um „Bullshitbingo“.

Skepsis

Der ehemalige Bundesbeauftrage für Datenschutz und Informationsfreiheit – Peter Schaar – zeigte sich in einer ersten Analyse auf heise.de skeptisch und hält es z.B. für zweifelhaft, ob die Einschränkung des Zugriffs durch US-Geheimdienste aufgrund der Gesetzeslage in den USA tatsächlich möglich sei.

Schaar kann dahingehend beigepflichtet werden, dass diese Neuregelung von besonderer Relevanz ist, denn der EuGH hat in seiner Safe Harbor-Entscheidung besonders hervorgehoben:

„Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens […].“

Die Einschränkung der Zugriffsmöglichkeiten durch US-amerikanische Geheimdienste wird daher sicherlich dafür ausschlaggebend sein, ob das neue Abkommen eine ggfls. nochmals erfolgende Überprüfung durch den EuGH besteht. Die recht unkonkrete Pressemitteilung gibt jedenfalls Raum für Befürchtungen, dass der notwendige Schutz der Daten vor dem Zugriff US-amerikanischer Geheimdienste nicht ausreichend gewährleistet ist.

Abwarten

Allerdings kann – wie auch z.B. Herr Schaar und die Artikel 29 – Datenschutzgruppe betont – eine abschließende Bewertung des neuen EU-US Privacy Shields – Abkommens erst dann vorgenommen werden, wenn der Vertragstext vorliegt.

EU-US Privacy Shield: Auswirkungen für Bürger und Unternehmen

Ungeachtet der vorangestellten Bedenken ist zu erwarten, dass das neue Abkommen so ratifiziert wird und ein erster vorsichtiger Ausblick auf Konsequenzen ist möglich:

Bürgerrechte:

Die konkreten Auswirkungen für Verbraucher werden sich in der Praxis zeigen. So muss abgewartet werden, wie US-amerikanische Unternehmen auf Beschwerden europäischer Bürger reagieren und wie genau die Arbeit des neuen Ombudsmannes ausgestaltet wird.

Unternehmen:

Die derzeitige Ausgangslage für Unternehmen gestaltet sich – leider – kompliziert. Sofern man den Kritikern des neuen Datenschutz-Abkommens folgen will, ist zu erwarten, dass das EU-US Privacy Shield Abkommen nicht geeignet ist, den Anforderungen an ein angemessenes Datenschutzniveau gerecht zu werden. D.h. eine Datenübermittlung auf Grundlage dieses Abkommens wäre – streng juristisch betrachtet – rechtswidrig. Das Problem ist jedoch: Ob das EU-US Privacy Shield-Abkommen tatsächlich ungeeignet ist, wird sich aller Wahrscheinlichkeit erst in einigen Jahren zeigen. Denn diese Entscheidung ist wiederum dem EuGH als höchstem europäischem Gericht vorbehalten.

In der Zwischenzeit besteht für Unternehmen letztlich erhebliche Rechtsunsicherheit. Welche konkreten Konsequenzen dies in der Praxis haben wird, hängt im Wesentlichen von künftigen Vorgehen der Datenschutzbehörden ab. Falls sich diese  früh den Kritikern anschließen, besteht die – derzeit noch theoretische die – Möglichkeit, dass gegen Unternehmen, die auf Grundlage des EU-US Privacy Shield-Abkommens Daten übermitteln, Bußgelder in erheblicher Höhe verhängt werden.

Es ist zwar in der Tat schwer vorstellbar, dass Datenschutzbehörden solch scharfe Maßnahmen ergreifen. Schließlich ist der Datenaustausch mit den USA von erheblicher wirtschaftlicher Bedeutung und das EU-US Privacy Shield-Abkommen ist zwischen EU und USA auf höchster Ebene und unter Berücksichtigung der Safe Harbor-Entscheidung ausgehandelt worden. Aber ein gewisses rechtliches Risiko bleibt bestehen.

Der rechtlich derzeit sicherste Weg für Unternehmen bleibt daher immer noch die Verwendung der EU-Standardvertragsklauseln oder die Verwendung von Binding Corporate Rules. Es ist weitestgehend unbestritten, dass diese eine rechtlich zulässige Datenübermittlung in die USA ermöglichen.

4 Kommentare zu diesem Beitrag

  1. @ Dr. Datenschutz

    “Eine Verbesserung für Unternehmen und Bürger?”

    Das ist eine rhetorische Frage, oder?

    Im Übrigen zeigt sich bei diesem Artikel, dass Sie in erster Linie Anwalt Ihrer zahlenden Unternehmenskunden sind.

      • Ihnen geht es in erster Linie darum, Ihre zahlenden Unternehmenskunden möglichst reibungslos und vorteilhaft durch die Datenschutzgewässer zu lotsen. Das ist nicht verwerflich, aber ist eine andere Interessenslage als die der “einfachen” Bürger. Sie sind Anwalt/Berater von Unternehmen, nicht von Bürgern. Das ist Ihre Rolle und das sollte jedem – auch Ihnen selbst – bewusst sein.

        Beispiel:
        “Der rechtlich derzeit sicherste Weg für Unternehmen bleibt daher immer noch die Verwendung der EU-Standardvertragsklauseln oder die Verwendung von Binding Corporate Rules. Es ist weitestgehend unbestritten, dass diese eine rechtlich zulässige Datenübermittlung in die USA ermöglichen.”

        “Weitestgehend unbestritten”, dass BCR und Standardvertragsklauseln wasserdicht sind? Das ist eine gewagte These und soll nur Ihre Unternehmenskunden beruhigen. Dass auch BCR und Standardvertragsklauseln nichts an den des Safe-Harbor-EuGH-Urteils zugrunde liegenden Missstände im Bereich der US-Geheimdienstüberwachung ändern, scheinen Sie zu übersehen.

        Fakt ist: Die EU ist den USA ausgeliefert. Die USA sitzen am längeren Hebel. Beim Thema Safe Harbor zeigt sich offen wie selten das ungleiche Machtverhältnis zwischen EU und USA.

        • Selbstverständlich beraten wir vorrangig Unternehmen und das ist uns auch bewusst. Eine Beratung in diesem Bereich setzt allerdings insbesondere eine hohe Sensibilität für den Datenschutz von Bürgern voraus, da das Datenschutzrecht den Schutz von persönlichen Daten gewährleisten soll. Insoweit würde eine mangelnde Sensibilität den Beratungszweck konterkarieren.

          Ziel des Beitrags ist es nicht, die tatsächliche Situation – also auch die tatsächliche Gewährleistung eines Schutzes vor Überwachung – zu betrachten, sondern die derzeitige rechtliche Situation zu bewerten.
          Hier stellt sich die Frage unter welchen rechtlichen Voraussetzungen eine zulässige Datenübermittlung in die USA möglich ist. Da momentan noch recht wenige Informationen über den genauen Inhalt des Privacy Shields vorhanden sind, halten wir es für den – rechtlich – sichersten Weg, die EU-Standardvertragsklauseln oder Binding Corporate Rules zu wählen. Rechtlich ist dies deshalb sicherer, weil eine Datenübermittlung „nur“ auf Grundlage des EU-US Privacy Shields möglicherweise als unzulässig erachtet werden könnte.

          Die Verwendung von Standardvertragsklauseln bzw. BCR kann allerdings – mittelbar – die tatsächliche Lage ändern. Rechtlich macht die Verwendung einen erheblichen Unterschied, da der vertragsbrüchige Partner dann direkt vom Vertragspartner in Anspruch genommen werden kann.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.