Seit knapp zwei Jahren können Unternehmer den Datentransfermechanismus „Privacy Shield“ nutzen. Dieses Instrument hat den Zweck der Sicherstellung eines angemessenen Datenschutzniveaus bei Datentransfers zwischen den USA und Europa. Doch nun fordern Datenschutzbehörden Nachverhandlungen zum Privacy Shield, da sie einen ebenso starken Schutz der Daten in den USA, wie dieser in der Europäischen Union gewährleistet wird, bezweifeln. 

Der Hintergrund

Hintergrund ist die Vermutung, dass Drittländer kein ausreichendes, europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, wenn die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat. Dabei unterfallen auch gerade Drittländer dem Anwendungsbereich des Bundesdatenschutzgesetzes, §§ 4, 4b, 4c BDSG, sofern Datenübermittlungen im Rahmen von Tätigkeiten erfolgen, die auch nur teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaft fallen. Das neue Bundesdatenschutzgesetz verweist in § 1 Abs. 5 BDSG auf die Anwendbarkeit der Datenschutz-Grundverordnung, die gemäß Art. 3 Abs. 2, 3 DS-GVO bei der Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen heranzuziehen ist. Die USA zählen gerade nicht zu den sogenannten „sicheren Drittländern“, weshalb man verschiedene Instrumente wie Privacy Shield schuf, um einen ausreichenden Datenschutz bei Datentransfers herzustellen. Das dadurch als sichergestellt geltende Datenschutzniveau ermöglicht eine Datenübermittlung, anderenfalls gilt sie als unzulässig.

Das Safe-Harbor-Abkommen

Vorgänger des EU-US Privacy Shields war das Safe-Harbor-Abkommen, eine Übereinkunft zwischen den USA und der EU. Unterwarfen sich US-Unternehmen den Prinzipien dieses Abkommens, so wurden sie als Unternehmen mit angemessenem Datenschutzniveau in die Liste des US Department of Commerce aufgenommen, welches die Einhaltung des EU-Standards für ein Jahr zusicherte. Jedoch gilt dieses Abkommen seit dem sogenannten Schrems-Urteil des Europäischen Gerichtshofs vom 06.10.2015 nicht mehr. Max Schrems klagte 2013 wegen Verstöße der USA gegen EU-Recht bei Datenübermittlungen aus Europa in die USA und den folgenden Überwachungsmaßnahmen durch den amerikanischen Staat vor der irischen Datenschutzbehörde gegen Facebook Irland. Das Verfahren gelang bis zum EuGH, der das Safe-Harbor-Abkommen letztendlich auflöste. Der EuGH begründete seine Entscheidung damit, dass das die Einhaltung des europäischen Datenschutzes in den USA nicht immer gewährleistet werden könne.

Die wichtigsten Kritikpunkte:

• Das Safe-Harbor-Abkommen galt nur für amerikanische Unternehmen und nicht für Behörden der USA.
• Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung nationaler Gesetze der Vereinigten Staaten genossen Vorrang vor dem Abkommen. Also waren amerikanische Unternehmen im Fall eines Widerstreits zu den Erfordernissen nicht zur Anwendung des Abkommens verpflichtet.
• Es gab keine Begrenzungsmöglichkeit der Eingriffe amerikanischer Behörden in die Grundrechte der betroffenen Personen.
• Es gab keine Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die US-Behörden.

Das „EU-US-Privacy Shield“

Um allerdings die durch die Ungültigkeit des Safe-Harbor-Abkommens entstandene Lücke zu schließen, schuf man einen neuen Datentransfermechanismus namens „EU-US-Privacy Shield“, der die Unternehmer zur Einhaltung der Datenverarbeitungsstandards verpflichtet und im Gegensatz zu Safe Harbour den Zugriff auf die Daten von EU-Bürgern durch die US-Behörden begrenzt. Eine weitere Neuerung war die Einführung von Rechtsschutz für Bürger durch Ombudsmänner und Streitbeilegung, sowie eine jährliche Überprüfung des Privacy Shields.

Die Überprüfung von Privacy Shield

Daher überprüften die Europäische Kommission und die US-Regierung Mitte September 2017 die Funktionsweise des „EU-US-Privacy Shields“. Während der Datentransfermechanismus nach Ansicht der Kommission gut funktioniert, sieht das das unabhängige Beratungsgremium der Europäischen Kommission, die Artikel-29-Datenschutzgruppe, anders. Zwar erkennt die Artikel-29-Datenschutzgruppe in Privacy Shield Fortschritte im Vergleich zu Safe Harbour, sowie die Bemühung der US-Behörden und der Kommission bei der Umsetzung des Datenschutzschildes. Dennoch übt das Beratungsgremium auch Kritik, indem es Bedenken hinsichtlich der Gleichwertigkeit des Datenschutzniveaus in den USA durch Privacy Shield und des Datenschutzniveaus in der EU äußert.

Diese Bedenken liegen in erster Linie in der Funktionalität der eigentlich zugesicherten Möglichkeit des Rechtswegs für EU-Bürger gegen staatliche und kommerzielle Überwachungsmaßnahmen durch die Einführung des Ombudsmanns. Der Artikel-29-Datenschutzgruppe wurden bei der Überprüfung von Privacy Shield Informationen vorenthalten, die sich auf das Verfahren für den Zugang der Bürgerbeauftragten mit anderen Mitgliedern der Geheimdienstgemeinschaft, einschließlich der Aufsichtsorgane, beziehen. Somit kann sie nicht überprüfen und damit auch nicht bejahen, dass dem Ombudsmann ausreichende Befugnisse für den Zugang zu Informationen und die Behebung von Verstößen zustehen, um ihre einem Gericht oder anderen unabhängigen Stellen vergleichbare Rolle zu erfüllen. Daher steht dies einer Bewertung des Ombudsmanns als wirksamer Rechtsbehelf im Sinne des Artikels 47 der Charta der Grundrechte entgegen.

Ferner fordert das Beratungsgremium Belege oder rechtlich bindende Zusagen dafür, dass eine Datenerhebung durch US-Behörden keine willkürlichen Datensammlung darstellt und kein unbeschränkter Zugriff auf die personenbezogenen Daten von EU-Bürgern erfolgt, wie sie im Rahmen des NSA-Programms UPSTREAM geschah. Aufgrund dieser Bedenken fordert die Artikel-29-Datenschutzgruppe Nachverhandlungen der EU-Kommission mit der US-Regierung. Dafür müsse in erster Linie ein Aktionsplan aufgestellt werden, so dass spätestens bis zum Wirksamwerden der Datenschutzgrundverordnung am 25. Mai 2018 Abhilfe für die Bedenken geschaffen wird. Anderenfalls ergreifen die Mitglieder der Artikel-29-Datenschutzgruppe geeignete Maßnahmen wie die Anrufung nationaler Gerichte, und kündigen eine mögliche Überprüfung des Privacy Shields durch den Europäischen Gerichtshof an.

Die Kritik der Artikel-29-Datenschutzgruppe ändert momentan aber nichts an der noch bestehenden Wirksamkeit des Privacy Shields. Das Instrument kann also weiterhin als Rechtsgrundlage für Datenübermittlungen in die USA herangezogen werden, solange kein Gericht rechtswirksam die Unwirksamkeit von Privacy Shield festgestellt hat.

Derzeit ist das Privacy Shield nicht der einzige Datentransfermechanismus, an dessen Wirksamkeit gezweifelt wird. Schrems ging in einem zweiten Verfahren gegen die EU-Standardvertragsklauseln vor. Nun prüft der EuGH im Rahmen eines Vorabentscheidungsersuchen durch den Obersten Irischen Gerichtshof, ob die EU-Standardverträge eine ausreichende Garantie hinsichtlich des Schutzes der Privatsphäre für eine Übermittlung personenbezogener Daten in Drittländern darstellen. In Zukunft wird sich einiges auf dem Gebiet der Grundlagen für einen rechtskonformen Datenaustausch in Drittländer tun, und wir halten Sie diesbezüglich selbstverständlich auf dem Laufenden.