Der "EU-US Privacy Shield" soll das Safe-Harbor-Konzept ersetzen. Schon bevor die politische Einigung rechtlich konkret wird, wird sie massiv kritisiert. Michael Kamps und Reemt Matthiesen über die Eckpunkte.
Fast glaubte man, zwischen den 110 Zeichen der Twitter-Nachricht von Vera Jourova die erhebliche Erleichterung zu spüren: Am späten Dienstagnachmittag konnte die Justizkommissarin der Welt mitteilen, dass sich die Europäische Kommission und das US-Handelsministerium über neue Rahmenbedingungen für transatlantische Datenübermittlungen geeinigt hätten – nach seit längerem laufenden Verhandlungen.
Die hatten im Oktober 2015 eine gewisse Dringlichkeit bekommen, nachdem der Europäische Gerichtshof (EuGH) das mehr als 15 Jahre alte Safe Harbor-Konzept für unwirksam erklärt hatte. Unter Safe Harbor konnten personenbezogene Daten aus der EU in die USA übermittelt werden, wenn die dortigen Empfänger erklärten, bestimmte Voraussetzungen zur Einhaltung eines angemessenen Datenschutzniveaus zu erfüllen.
Der EuGH hatte seine Entscheidung insbesondere damit begründet, dass US-Empfänger im Zweifel verpflichtet seien, Ersuchen von US-Behörden zum Zugriff auf personenbezogene Daten nachzukommen. Zudem seien die Befugnisse der US-Behörden im Hinblick auf die anlasslose Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.
Eine politische Einigung innerhalb der Frist der Aufsichtsbehörden
Unmittelbar nach der EuGH-Entscheidung hatten die europäischen Aufsichtsbehörden für den Datenschutz angekündigt, nicht nur gegen US-Datentransfers auf Grundlage des unwirksamen Safe Harbor-Konzepts vorgehen zu wollen, sondern auch die alternativen Übermittlungsinstrumente (die sog. EU-Standardvertragsklauseln und verbindliche Unternehmensregeln, "Binding Corporate Rules") auf den Prüfstand zu stellen.
Die Aufsichtsbehörden stützten sich dabei auf die vom EuGH bestätigten Prüfungsbefugnisse auch gegenüber Feststellungen der Europäischen Kommission zum angemessenen Datenschutzniveau. Dass die Aufsichtsbehörden ihre in den vergangenen Jahren ohnehin gestärkte Unabhängigkeit ernst nehmen, wurde deutlich, als sie der Europäischen Kommission eine Frist bis Ende Januar 2016 setzten, um mit den USA eine Nachfolgeregelung für Safe Harbor zu vereinbaren.
Die nun verkündete "politische Einigung" diente deshalb auch dazu, diese Frist einzuhalten. Eine detaillierte Prüfung des neuen EU-US Privacy Shield ist freilich noch nicht möglich. Dazu bedürfte es konkreter Formulierungen für die neuen Regelungen.
Die Aufsichtsbehörden begrüßten deshalb am Ende ihrer parallel zu den Verhandlungen terminierten Diskussion in der sogenannten Artikel-29-Arbeitsgruppe die politische Einigung, betonten aber zugleich ihre nach wie vor erheblichen Vorbehalte.
Sie verbanden ihre Mitteilung mit einer neuen Fristsetzung, wonach die EU-Kommission sämtliche Dokumente zu der neuen Vereinbarung bis Ende Februar 2016 vorzulegen habe. Danach werde die Arbeitsgruppe alle zur Verfügung stehenden Instrumente für US-Datenübermittlungen abschließend prüfen – neben dem neuen Datenschutzschild also auch die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln. In der Zwischenzeit könnten Unternehmen in der EU bestehende Instrumente mit Ausnahme von Safe Harbor weiter nutzen.
2/2: Eckpunkte des EU-US Privacy Shield
Bislang sind nur die in einer Mitteilung der Europäischen Kommission angerissenen Eckpunkte des Datenschutzschildes bekannt:
- Ein Grundprinzip des bisherigen Safe-Harbor-Konzeptes wird beibehalten: US-Unternehmen können im Rahmen einer Selbstzertifizierung bestätigen, dass sie die aus der EU erhaltenen Daten nach bestimmten, derzeit aber noch nicht bekannten Datenschutzprinzipien verwenden werden. Nach dem ehemaligen Safe-Harbor-Konzept handelte es sich um sieben Grundsätze, die durch "FAQ" näher spezifiziert wurden. Die Einhaltung der Datenschutzprinzipien durch US-Unternehmen unterliegt der Aufsicht durch die Federal Trade Commission; bei Beschäftigtendaten sind zudem die europäischen Aufsichtsbehörden zuständig
- Ein Grund für die bestehende "Datenschutzkrise" zwischen der EU und den USA waren bekanntlich die Enthüllungen von Whistleblower Edward Snowden zur Überwachungstätigkeit von US-Geheimdiensten. Die US-Seite hat nun schriftlich versichert, dass deren Zugriff beschränkt ist. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Dieser Punkt wird für die anstehende Bewertung des Datenschutzschildes entscheidend sein: Zum einen müssen die Zusicherungen von US Seite rechtlich verbindlich sein. Zum anderen darf man gespannt sein, wie die konkrete Formulierung der Datenschutzgrundsätze aussehen wird.
- Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden können. Ein weiterer wichtiger Baustein ist der sogenannte Judicial Redress Act, der EU-Bürgern auch gerichtlichen Rechtsschutz in den USA ermöglichen soll. Ob dieses Gesetz allerdings tatsächlich geeignet ist, den vom EuGH geforderten effektiven Rechtsschutz zu gewährleisten, bezweifelt nicht nur der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bezweifelt.
Viel Kritik, schon bevor es ihn gibt
Nicht alle Akteure formulierten ihre Reaktion auf den EU-US Privacy Shield so zurückhaltend wie die Aufsichtsbehörden. Sowohl Vertreter des EU-Parlaments, namentlich der Abgeordnete Jan Philipp Albrecht, als auch Datenschutzaktivisten wie der österreichische Jurist Maximilian Schrems (der das Verfahren zur Safe Harbor-Entscheidung des EuGH initiiert hatte) übten heftige Kritik: Insbesondere verlasse sich auch der neue Datenschutzschild im Hinblick auf die Überwachung durch Geheimdienste lediglich auf Zusicherungen der US-Behörden. So steht schon vor Veröffentlichung aller Details ein neues Verfahren vor dem EuGH im Raum.
Abschließende Rechtssicherheit für Unternehmen in der EU ist mit der politischen Einigung zum Datenschutzschild also nicht verbunden, und die derzeitige Hängepartie wird sich mindestens noch bis ins Frühjahr fortsetzen.
In erster Linie wird es auf die Bewertung der Aufsichtsbehörden ankommen, ob Datenverarbeiter in der EU sich auf den EU-US Privacy Shield, die EU-Standardvertragsklauseln oder konzerninterne Binding Corporate Rules verlassen können.
Eine wesentliche Frage wird auch sein, ob sich die europäischen Aufsichtsbehörden tatsächlich auf eine einheitliche Position verständigen und nur diese bei ihrer Aufsichtstätigkeit berücksichtigen, oder ob einzelne Behörden – insbesondere bei Beschwerdefällen – nationale Sonderwege beschreiten werden. Dies ist nicht zuletzt für Deutschland relevant, wo – anders in vielen anderen EU-Mitgliedstaaten – nicht eine zentrale Stelle, sondern neben der Bundesbeauftragten für den Datenschutz im Wesentlichen Behörden in den Ländern die Aufsicht über die Datenverarbeitung in der Privatwirtschaft führen.
Am Ende wieder vor Gericht?
In einem zweiten Schritt könnten es die Gerichtsverfahren geben, von denen jetzt schon einige reden. Dann müsste der EuGH erneut prüfen, ob auch die neuen Übermittlungsinstrumente den Anforderungen des EU-Datenschutzrechts genügen.
Nicht nur die europäischen Niederlassungen von US-Konzernen werden die weiteren Entwicklungen aufmerksam beobachten müssen. Denn anders als vielfach angenommen können auch klassische Mittelstandsunternehmen betroffen sein: Auch sie bedienen sich häufig Dienstleistern in den USA, etwa für Cloud-Services oder "Software as a Service"-Anwendungen, bei denen personenbezogene Daten von Kunden oder Mitarbeitern auf Servern in den USA gespeichert werden.
Immerhin hat der neue EU-US Privacy Shield aber schon jetzt ein eigenes Logo.
Die Autoren Michael Kamps und Dr. Reemt Matthiesen sind Rechtsanwälte bei CMS Hasche Sigle in Köln und München und beraten schwerpunktmäßig im Datenschutzrecht.
Michael Kamps und Dr. Reemt Matthiesen , Politische Einigung über Safe-Harbor-Ersatz: Neuer Datenschutz, alte Fragezeichen . In: Legal Tribune Online, 05.02.2016 , https://www.lto.de/persistent/a_id/18388/ (abgerufen am: 29.03.2024 )
Infos zum Zitiervorschlag