Safe Harbor-Nachfolger Privacy Shield tritt in Kraft: Schutz­schild mit Soll­bruch­s­tellen

Als der Europäische Gerichtshof (EuGH) im Oktober 2015 die Safe Harbor-Entscheidung der Kommission mit sofortiger Wirkung für unwirksam erklärte, brach in vielen Unternehmen hektische Betriebsamkeit aus: Dokumentationen und Verträge wurden überprüft, Konzernunternehmen und Dienstleister kontaktiert. Ziel der Übung: Alle Datenübermittlungen in die USA auf Grundlage von Safe Harbor identifizieren und so schnell wie möglich Alternativen finden.

Dies war kein Aktionismus, sondern eine wohlbegründete Compliance-Maßnahme. Denn das europäische Datenschutzrecht stellt für die Übermittlung von personenbezogenen Daten in "Drittstaaten" besondere Voraussetzungen auf. Ein "angemessenes Datenschutzniveau" besteht grundsätzlich nur innerhalb von EU und EWR, bei Datenempfängern in anderen Ländern müssen weitere Maßnahmen zur Sicherstellung dieses Datenschutzniveaus getroffen werden.

Für einige Drittstaaten hat die Kommission ein angemessenes Schutzniveau in einem eigenen Verfahren festgestellt – hierzu gehören Andorra, Argentinien, Kanada, Schweiz, Faröer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Mit Empfängern in anderen Drittstaaten können Verträge auf Grundlage der "EU-Standardvertragsklauseln" abgeschlossen werden, und Konzerne können personenbezogene Daten intern auf Grundlage von verbindlichen Unternehmensregeln ("Binding Corporate Rules") übermitteln.

Massenüberwachung und mangelnder Rechtsschutz

Für die USA galt seit 2002 eine Sonderregelung: Datenempfänger in den USA konnten sich aufgrund der Safe Harbor-Entscheidung der Kommission zur Einhaltung von bestimmten Datenschutzprinzipien verpflichten und wurden in einer von den US-Behörden geführten Liste erfasst. Diese Empfänger galten dann als "sichere Häfen", personenbezogene Daten durften an sie übermittelt werden.

Diese Sonderregelung wurde vom EuGH für unwirksam erklärt, weil ein angemessenes Datenschutzniveau aufgrund der amerikanischen Rechtspraxis tatsächlich nicht gewährleistet sei. Zum einen seien die gesetzlichen Befugnisse von US-Behörden (insbesondere der Geheimdienste) zur anlasslosen und umfangreichen Überwachung von elektronischer Kommunikation viel zu weitreichend und auch Safe Harbor-zertifizierte Empfänger könnten sich im Zweifel nicht gegen entsprechende Anfragen oder Überwachungsmaßnahmen von US-Behörden wehren. Zudem hätten EU-Bürger keine hinreichenden Möglichkeiten, die Löschung oder Berichtigung ihrer Daten zu verlangen oder vor US-Gerichten gegen Überwachungsmaßnahmen zu klagen.

Datenschutzschild statt sicherem Hafen

Die entsprechenden Vorgaben des EuGH sollen nun im Nachfolgekonzept – dem EU-US Privacy Shield – berücksichtigt worden sein. Die umfangreichen Dokumente zum Datenschutzschild, den die Kommission am Dienstag offiziell angenommen hat,  sehen z.B. klarere gesetzliche Grundlagen für einen Datenzugriff durch US-Behörden, ausdrückliche Anforderungen an Zweckbindung, Erforderlichkeit und Verhältnismäßigkeit solcher Zugriffe und geeignete Maßnahmen gegen Missbrauch und unbefugte Zugriffe vor. Die US-Behörden sind für ihren Umgang mit personenbezogenen Daten von US-Bürgern verantwortlich und werden durch eine unabhängige Beschwerdestelle ("Ombudsperson") überwacht. Bei dieser und bei Behörden und Gerichten können sich in Zukunft auch EU-Bürger über den Umgang mit ihren personenbezogenen Daten beschweren.

Sowohl Datenschutzaktivisten als auch Aufsichtsbehörden in den Mitgliedsstaaten und der Europäische Datenschutzbeauftragte hatten den ersten Entwurf des Privacy Shield Anfang des Jahres zum Teil mit deutlichen Worten kritisiert. Die Kommission und ihre US-Verhandlungspartner haben in der Folgezeit tatsächlich nachgebessert und verschiedene Aspekte präzisiert.

Konzept mit Sollbruchstellen

Die Kritik von Bürgerrechts- und Datenschutzorganisationen dauert dennoch an – sie bemängeln insbesondere, dass die Überwachungsgesetze in den USA nicht oder nur unwesentlich geändert wurden. Schon vor dem Inkrafttreten des neuen Konzepts ist absehbar, dass es wie sein Vorgänger Safe Harbor gerichtlich überprüft werden wird.

Aber auch die Kommission scheint mit dem Ergebnis ihrer umfassenden Verhandlungen mit den USA nicht so richtig zufrieden zu sein: Nach Medienberichten soll EU-Justizkommissarin Vera Jourova "nicht glücklich" und "nicht absolut zufriedengesellt" sein. In diesem Zusammenhang verwies sie zugleich auf die in der Entscheidung zum Datenschutzschild eingebauten Sollbruchstellen. Denn die Kommission hat sich verpflichtet, die Einhaltung der rechtlichen Vorgaben laufend zu überwachen und in regelmäßigen Abständen zu prüfen, ob sie ihre jetzt getroffene Entscheidung anpassen, aussetzen oder gar insgesamt aufheben muss.

Keine nachhaltige Rechtssicherheit

Für datenverarbeitende Unternehmen in der EU trägt der EU-US Privacy Shield deshalb nur sehr bedingt zur Rechtssicherheit bei. Denn viele Unternehmen sind im Rahmen laufender Geschäftsprozesse auf die transatlantische Übermittlung von Daten angewiesen. Selbst wenn sich Empfänger in den USA (wohl in einigen Monaten) erstmals im Rahmen des neuen Datenschutzschildes selbst zertifizieren können, müsste bei einer gerichtlichen Entscheidung gegen das neue Konzept oder bei dessen Aufhebung durch die Kommission die Suche nach Alternativen erneut beginnen.

Möglicherweise werden sich die Verantwortlichen in den Unternehmen entscheiden, auf eine Datenübermittlung auf Basis des Privacy Shield zu verzichten und stattdessen z.B. die EU-Standardvertragsklauseln einsetzen. Auch diese sind allerdings nach der Safe Harbor-Entscheidung nicht unumstritten; die irische Datenschutzbehörde hat bereits angekündigt, auch sie gerichtlich überprüfen zu lassen.

Ruhe wird in die Debatte also auch durch Privacy Shield nicht einkehren. Unternehmen, die gehofft hatten, das Thema zu den Akten legen zu können, werden sich wohl mindestens bis zur gerichtlichen Überprüfung des neuen Abkommens gedulden müssen. Vor der Notwendigkeit, die eigenen Konzepte für internationale Datenübermittlungen laufend zu überprüfen und anzupassen, schützt der neue Schutzschild jedenfalls nicht.

Der Autor Michael Kamps ist Rechtsanwalt bei CMS Hasche Sigle in Köln und berät schwerpunktmäßig im Datenschutzrecht.