Praxis |

Aufschub statt Lösung

Privacy Shield

Aus dem sicheren Hafen unter das Schutz­schild! So kann man die recht­liche Ent­wick­lung rund um den Daten­trans­fer in die USA be­zeich­nen. Jedoch zeich­net sich ab, dass die Probleme in der Praxis nur einst­weilen be­hoben sind.

Mit einem großen und recht unerwarteten Paukenschlag hat der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 das Abkommen über den Datentransfer mit den USA – das sogenannte Safe-Harbor-Abkommen – außer Kraft gesetzt. Die Ent­schei­dung hat für viel Wirbel gesorgt – sowohl politisch als auch in der Wirtschaft. Die politische Sprengkraft lag in der Begründung der Ent­schei­dung des EuGH, die wirtschaftliche Sprengkraft in der Auswirkung des Urteils durch Außer­kraft­setzen eines für den Datentransfer in der Privatwirtschaft wichtigen Ab­kommens. Aber vor allem auf den zweiten Blick – nach dem sich der Wirbel gelegt hatte – zeichnete sich ab, dass die Entscheidung zu einer grundlegenden Neubewertung des Daten­transfers in die USA in der Privatwirtschaft führen könnte. Im Juli 2016 ist nun das Nach­folge­ab­kommen – das sogenannte EU-U.S. Privacy Shield – in Kraft getreten. Allerdings ist die Problematik damit wohl nur einstweilen behoben. Es lohnt sich daher, nicht nur auf das Neue zu schauen, sondern auch die Hintergründe zu beleuchten.

Fakten zum Hintergrund

Das sogenannte Safe-Harbor-Abkommen wurde im Jahr 2000 zwischen den USA und der EU geschlossen, um den Transfer personenbezogener Daten, insbesondere den Online-Datenverkehr, zu vereinfachen und zu beschleunigen. Nach diesem Abkommen war eine Datenübermittlung an ein in den USA ansässiges Unternehmen zulässig, wenn sich dieses verpflichtete, ein dem euro­päischen beziehungsweise deutschen Datenschutz entsprechendes Niveau einzuhalten. Es handelte sich dabei um eine Art Selbstzertifizierung des Unternehmens mit Unterwerfung unter Sanktionen durch US-Aufsichtsinstanzen. Mit Urteil vom 6. Oktober 2015 erklärte der EuGH die Entscheidung 2000/520/EG der EU-Kommission, auf der dieses Safe-Harbor-Prinzip beruhte, für unwirksam (Az. C-362/14). Das Safe-Harbor-Abkommen war damit keine Rechtsgrundlage mehr für einen Datentransfer in die USA oder einen Zugriff auf Daten in der EU aus den USA. Das führte zu erheblichen Problemen, denn eine Vielzahl von Unternehmen übermittelten Daten auf der Grundlage von Safe Harbor an Dienstleister in die USA oder nutzten Cloud Services, bei denen der Cloud Service Provider Daten auf der Grundlage von Safe Harbor behandelte.

Richtungsweisende Unwirksamkeitsentscheidung

Die Entscheidung des EuGH zu Safe Harbor war nicht nur wegen der Außerkraftsetzung des Safe-Harbor-Abkommens ein Paukenschlag, sondern vor allem wegen seiner richtungsweisenden Begründung und weiteren Aussagen zur Datenschutzaufsicht. Die vordergründigen Kernaussagen des EuGH in der Entscheidung vom 6. Oktober 2015 waren:

  • Unwirksamkeit des Beschlusses der EU-Kommission betreffend Safe Harbor vom 26. Juli 2000 (Entscheidung 2000/520/EG der Kommission);
  • Prüfungsbefugnis der nationalen Datenschutzbehörden ohne Bindung an Entscheidungen der EU-Kommission zur Angemessenheit des Schutzniveaus in einem Drittland.

Der EuGH äußerte sich aber – entgegen mancher Berichterstattung – nicht konkret zu den rechtlichen Rahmenbedingungen in den USA. Die Feststellung der Ungültigkeit das Safe-Harbor-Abkommens stützt der EuGH auf die fehlenden Feststellungen der EU-Kommission insbesondere zu Zugriffsbefugnissen der US-Sicherheitsbehörden und zu fehlenden Rechtsbehelfen der dadurch Betroffenen bei solchen Zugriffen trotz Safe Harbor. Der EuGH stellte damit allein auf den formellen Aspekt ab, dass die EU-Kommission im Rahmen ihrer Entscheidung über die An­ge­mes­sen­heit des Datenschutzniveaus relevante Aspekte nicht in die Entscheidungsfindung einbezogen hatte. Der EuGH musste sich daher gar nicht mit der Situation in den USA befassen, konnte aber gleichwohl die Safe- Harbor-Prinzipien für unwirksam erklären. Wer mag, kann darin einen geschickten Weg sehen, in Richtung USA eine Botschaft zu senden, ohne konkrete Kritik zu üben. In diesem Zusammenhang ist nämlich auch zu sehen, dass die EU-Kommission zu diesem Zeitpunkt bereits geraume Zeit mit den USA über Nachbesserungen zum Schutz der Daten von EU-Bürgern verhandelte, ohne dass ein Fortschritt abzusehen war. Allerdings führte der EuGH aus, dass in einem Land, für das ein angemessenes Datenschutzniveau aus EU-Datenschutzsicht anerkannt werden solle, bestimmte Rahmenbedingungen nicht verletzt sein dürfen. Diese benannte der EuGH und steckte damit die Leitlinien für eine zukünftige Prüfung der EU-Kommission. De facto definierte der EuGH damit, welche Schutzgarantien in den USA geschaffen werden müssen, damit ein Angemessenheitsbeschluss über ein Nachfolgeabkommen möglich ist.

Auswirkungen in der Praxis

Die durch den EuGH aufgestellten Maßgaben gelten aber nicht nur für Safe Harbor und sein Nachfolgeabkommen.

Unternehmen, die Daten auf der Grundlage des Safe-Harbor-Abkommens übermittelt hatten, mussten nach der EuGH-Entscheidung schnellstens reagieren. Denn bei einer unzulässigen Datenübertragung in Drittstaaten drohten Bußgelder und sogar die Untersagung der Datenverarbeitung. Die Daten­schutz­auf­sichts­behörden hatten hierauf lange hingewiesen, und Mitte 2016 kam es dann auch zu Bußgeldern, weil Unternehmen noch nicht umgestellt hatten. Die durch den EuGH aufgestellten Maßgaben gelten aber nicht nur für Safe Harbor und sein Nachfolgeabkommen. Die inhaltlichen Vorgaben gelten vielmehr allgemein für alle Fälle der Anerkennung eines angemessenen Datenschutzniveaus in Drittstaaten (also Ländern außerhalb der EU und des EWR). Gerade in Bezug auf die EU-Standardverträge, deren Abschluss einen Datentransfer zu einem Unternehmen in einem Land ohne angemessenes Datenschutzniveau ermöglicht, wurde daher diskutiert, ob diese noch eine Rechtsgrundlage für den Datentransfer in die USA sein können. In Bezug auf die EU-Standardverträge ist allerdings zu berücksichtigen, dass diese – anders als Safe Harbor und Privacy Shield – nicht nur für den Datentransfer in die USA gelten, sondern grundsätzlich für den Datentransfer in alle Drittstaaten. Dass sich diese Diskussion nicht verselbständigt hat und noch nicht zur Unwirksamkeit dieser Instrumente führte, liegt an den weiteren Ausführungen des EuGH zur Rolle der Datenschutzaufsichtsbehörden.

Rolle der nationalen Datenschutzaufsichtsbehörden

Die nationalen Aufsichtsbehörden können und müssen nach der Entscheidung des EuGH die Angemessenheit eines Datenschutzniveaus in einem Drittstaat und damit die Zulässigkeit eines Datentransfers dorthin selbständig prüfen, und zwar trotz der Entscheidungen der EU-Kom­mis­sion zur Angemessenheit des Datenschutzniveaus. Allerdings – und das spricht der EuGH explizit aus – können die nationalen Datenschutzaufsichtsbehörden nicht aus eigener Macht­voll­kom­men­heit Entscheidungen der EU-Kommission zur Angemessenheit des Daten­schutz­niveaus außer Kraft setzen. Diese Befugnis behält der EuGH explizit sich selbst vor. Die nationalen Aufsichtsbehörden dürfen auch keine Maßnahmen ergreifen, die einem solchen generellen Aussetzen im prak­tischen Ergebnis gleichkommen. Die nationalen Behörden prüfen und müssen die Frage dann na­tio­na­len Ge­richten vorlegen, die dann an den EuGH zur Entscheidung vorlegen können. Kurzum: Die nationalen Aufsichtsbehörden haben also eine Prüfungs-, aber keine generelle Ver­wer­fungs­kom­pe­tenz. Das bedeutet: Solange der EuGH oder die EU-Kommission das Privacy Shield und die EU-Standardverträge nicht außer Kraft gesetzt haben, sind sie grundsätzlich eine wirksame Rechtsgrundlage.

Die vier Elemente des Privacy Shield

Der sogenannte Angemessenheitsbeschluss der EU-Kommission nach Art. 25 Abs. 6 der Daten­schutz­richt­linie 95/46/EG über das Privacy Shield ist im Internet zu finden. Aus der Sicht der EU-Kommission basiert das Privacy Shield auf vier Elementen, wodurch es – anders als Safe Harbor – den Anforderungen des europäischen Datenschutzniveaus genügen soll:

  • Strenge Auflagen für Unternehmen, die Daten auf der Grundlage des Privacy Shields ver­ar­beiten, und Durchsetzung dieser Auflagen;
  • Rechtsbehelfe: Insbesondere müssen US-Unternehmen binnen 45 Tagen auf Beschwerden reagieren;
  • Klare Schutzvorkehrungen und Transparenzvorgaben beim Zugriff durch US-Behörden: Die US-Regierung hat sich verpflichtet, den Zugriff auf Daten von EU-Bürgern durch US-Behörden klaren Begrenzungen und Überprüfungsmechanismen zu unterstellen. Auch eine wahllose und Massenüberwachung soll insoweit nicht mehr erfolgen;
  • Überwachung der Funktionsweise des Privacy Shields durch jährliche gemeinsame Über­prü­fungs­verfahren.

Die EU-Kommission hat die aus ihrer Sicht wichtigen Eckpunkte des Privacy Shields auch in einem Fact Sheet zusammengestellt (Stand: 3. November 2016; zu diesem Zeitpunkt nur in englischer Fassung verfügbar). Die Liste der nach Privacy Shield (selbst-)zertifizierten Unternehmen ist ebenfalls im Internet zu finden.

Rechtsrahmen zur Einordnung der Entscheidung

Der Datenübermittler beziehungsweise derjenige, der in Deutschland den Zugriff auf die Daten zulässt, ist verpflichtet, die Zulässigkeit zu prüfen. Das Privacy Shield allein macht dann nicht glücklich. Das deutsche und europäische Datenschutzrecht fordern bei einem grenz­über­schrei­ten­den Daten­trans­fer eine zweistufige Prüfung (Beschluss der Aufsichtsbehörden für den Daten­schutz im nicht öffentlichen Bereich vom 11./12. September 2013). Neben der Zu­läs­sig­keits­prüfung in Bezug auf den grenzüberschreitenden Datentransfer nach §§ 4b, 4c Bundes­da­ten­schutz­gesetz (BDSG) muss auch nach § 4 Abs. 1 BDSG geprüft werden, ob die Übertragung überhaupt zulässig ist. Das Privacy Shield wirkt nur (!) bei der ersten Prüfung. Die zweite Prüfung muss nach normalen Regeln zusätzlich erfolgen. Auch das Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) ändert hieran nichts. Die DS-GVO ändert auch nicht unmittelbar etwas am Privacy Shield.

Alternativen zum Privacy Shield

Das Datenschutzrecht kennt Alternativen zum Privacy Shield. Das sind insbesondere die EU-Standardverträge, sogenannte Binding Corporate Rules (BCR) sowie die Einwilligung des Betroffenen. Allerdings stehen die Binding Corporate Rules und die EU-Standardverträge in Anbetracht der Ausführungen des EuGH ebenfalls in der Kritik. Der EuGH wird sich auch mit diesen Rechtsgrundlagen zu befassen haben, sodass diese ebenfalls keine langfristig sichere Bank sind. Die Einwilligung taugt zwar im Einzelfall, wie etwa für die Auslagerung von Be­schäf­tig­ten­daten, aber wegen ihrer jederzeitigen Widerrufbarkeit ist sie kein leicht kalkulierbares Instrument.

Die Zukunft des Datentransfers in die USA

Die Kritik am Privacy Shield reißt nicht ab. Die Ausführungen des EuGH zum Schutzniveau in den USA werden auch gegen die anderen Instrumente zum Datentransfer ins Feld geführt. Es kann daher als sicher angesehen werden, dass der EuGH sich mit der Datenübermittlung in die USA erneut wird befassen müssen. Dann aber nicht nur unter dem Aspekt des Privacy Shields, sondern genereller. Für die Wirtschaft besteht die Problematik darin, dass die Kritik des EuGH sich nicht nur auf ein Instrument bezieht, sondern auf alle. Derzeit lässt sich also kein langfristig sicherer Weg einschlagen. Der theoretische Worst Case könnte in der Tat die grundsätzliche Unterbindung des Datentransfers in die USA für den Bereich der Privatwirtschaft sein. Hierauf werden es alle Beteiligte nicht ankommen lassen wollen. Die EuGH-Rechtsprechung hat damit durchaus auch eine politische und rechtsgestaltende Auswirkung. Denn aus europäischer Sicht müssen die USA die rechtlichen Rahmen in den USA ändern, da sich ein privatrechtliches Instrument wie Privacy Shield oder die EU-Standardverträge nicht auf die Zugriffsrechte der US-Sicherheitsbehörden beschränken.

aufschub_statt_loesung_komplett

Fotos: deomis, Luciano Lozano / Getty Images