von JONAS BOTTA
Nachdem vergangenen Sommer der politische Streit über die Zukunft des EU-US Privacy Shields zu eskalieren drohte und sogar eine Aussetzung des transatlantischen Datenschutzabkommens möglich erschien, hat die EU-Kommission Ende 2018 ihren zweiten Prüfbericht zum Privacy Shield veröffentlicht. Doch statt in Folge der bekannten Umsetzungsdefizite die Reißleine zu ziehen, ist sie erneut zu dem Ergebnis gekommen, dass unter seinem Regime ein angemessenes Datenschutzniveau herrsche. Eine Entscheidung, die zumindest einer rein rechtlichen Untersuchung nicht standhält.
Der Privacy Shield als Garant transatlantischer Datenströme
Der Privacy Shield gestattet es US-amerikanischen Unternehmen, Daten europäischer Bürger zu verarbeiten, wenn sie sich gegenüber dem US-Handelsministerium dazu verpflichten, seine Datenschutzgrundsätze (EG 20 ff. bzw. Anhang II) anzuerkennen und sie sich entsprechend zertifizieren lassen. Vom Fortbestehen des Privacy Shields hängt daher ein Großteil des transatlantischen Datenverkehrs ab. Staatliche Behörden bindet das Abkommen indes nicht unmittelbar, auch wenn es Regelungen zur öffentlichen Datenverarbeitung enthält (EG 64 ff.). Jedes Jahr unterzieht die Kommission den Privacy Shield einer Überprüfung, um festzustellen, ob er weiterhin ein mit dem europäischen Datenschutzrecht gleichwertiges Schutzniveau garantiert (EG 145 ff.). Denn ohne dieses, kann er nicht als Rechtsgrundlage für grenzüberschreitende Verarbeitungsvorgänge herhalten (Art. 45 Abs. 3 DS-GVO).
Showdown in Brüssel: Aussetzen oder Aussitzen?
Als die Kommission mit der US-Regierung letzten Oktober in Brüssel zusammen kam, um die zweite Überprüfung des Privacy Shields durchzuführen, lagen konfliktreiche Monate hinter beiden Seiten. Vor allem in der Union hatte sich die Kritik an dem Abkommen signifikant erhöht, was in einem Beschluss des EU-Parlaments, es entscheidend nachzubessern oder auszusetzen und einem Beschwerdebrief der EU-Justizkommissarin an den US-Handelsminister gipfelte. Hintergrund war nicht nur der Skandal um Facebook und Cambridge Analytica, sondern auch die Ergebnisse des ersten Prüfberichts aus dem vorangegangenen Jahr. Denn es hatte sich gezeigt, dass der Privacy Shield an denselben Schwächen wie sein Vorgänger, das Safe Harbor Abkommen, litt. Dieses hatte der EuGH aber für unwirksam erklärt, da es kein gleichwertiges Datenschutzniveau bewirkte (Rs. C-362/14, Rn. 98). Der erwartete Showdown zwischen Brüssel und Washington blieb gleichwohl aus, denn die Kommission beschloss erneut, dass der Privacy Shield ein angemessenes Datenschutzniveau gewährleiste – dabei berief sie sich vornehmlich auf die seit 2017 erfolgten Nachbesserungen auf US-amerikanischer Seite.
Erste Hoffnungsschimmer am Datenschutzhorizont
Aus Kommissionssicht hatte sich die unzureichende Überwachung der bald 4.000 zertifizierten Unternehmen bislang als vornehmliches Risiko für den Datenschutz europäischer Bürger erwiesen. Sie hatte daher angemahnt, dass es an ex-officio-Kontrollen durch die Aufsichtsbehörden fehle und die Datenschutzpraxis in den Unternehmen weitestgehend im Unklaren bliebe (1. Bericht, S. 6). Zudem forderte sie mehr Engagement gegen Unternehmen ein, die sich fälschlicherweise als zertifiziert auswiesen (ebenda). Wie der zweite Prüfbericht nun zeigt, ist die Trump-Administration diesen Empfehlungen insoweit nachgekommen, als dass das US-Handelsministerium mittlerweile stichprobenhaft die Websites zertifizierter Unternehmen untersucht (S. 3) und dort bspw. überprüft, ob der Link zur Datenschutzerklärung funktioniert. Immerhin 100 solcher Stichproben habe man bereits durchgeführt. Gegen Falschauskünfte gehe man mittels Text- und Bildsuchen vor (ebenda).
Doch die Aussicht bleibt getrübt: Vollzugsdefizite bleiben bestehen
Auch diese Fortschritte können indes nicht darüber hinwegsehen lassen, dass es weiterhin an belastbaren Nachweisen darüber fehlt, inwieweit die Unternehmen tatsächlich die Datenschutzgrundsätze des Privacy Shields einhalten. Zwar führt die Federal Trade Commission seit 2018 entsprechende Kontrollen durch, nähere Informationen über deren Reichweite und Erfolg blieb man jedoch schuldig (2. Bericht, S. 3). Ein weiteres Problem ist, dass die Unternehmen auf private Dienstleister als Beschwerdestellen für die Betroffenen setzen, welche zugleich ex-ante-Datenschutzprüfungen bei denselben Unternehmen durchführen. Dabei ist zu befürchten, dass die Dienstleister aus Loyalität zu ihrem Auftraggeber oder aus reinem Eigennutzen, nicht die nötige Sorgfalt in der Aufklärung von Datenschutzverstößen an den Tag legen. Diesem „bias“ beugt auch nicht überzeugend vor, dass seit 2018 getrennte Abteilungen für die Vorabkontrollen und Beschwerden zuständig sind.
Weiterhin kein Individualrechtsschutz für Unionsbürger in Sicht
Bekanntermaßen interessieren sich nicht nur Google & Co für die Daten europäischer Bürger, sondern auch die US-amerikanischen Sicherheitsbehörden. Unionsbürgern, die über keinen Wohnsitz in den USA verfügen, steht jedoch kein Individualrechtsschutz gegen die Ausspähung ihrer Daten zu. Zwar hatte die Obama-Administration die Presidential Policy Directive 28 (PPD-28) verabschiedet, welche der weltweiten Massenüberwachung Grenzen setzt (§ 2) und eine Gleichbehandlung von US-Staatsbürgern und Ausländern proklamiert (§ 4). Diese begründet aber keine subjektiven Rechte (§ 6 [d]) und verfügt nicht über Gesetzeskraft. Außerdem sind Massenüberwachungsmaßnahmen weiterhin zu unbegrenzten Zwecken möglich, solange die Daten nur zeitlich begrenzt gespeichert werden (Fn. 5 zur PPD-28). Die im ersten Kommissionsbericht geäußerte Hoffnung, der US-Gesetzgeber werde die PPD-28 im Gesetz über die Auslandsaufklärung (FISA) verankern (1. Bericht, S. 7), erwies sich als vergeblich. In ihrem Folgebericht betont die EU-Kommission nun nur noch, dass sich das Schutzniveau für Unionsbürger immerhin auch nicht verschlechtert habe (2. Bericht, S. 4). De facto hat sie damit die rechtliche Benachteiligung europäischer Bürger akzeptiert.
Wer behält die US-Nachrichtendienste im Auge?
Die weiten Zugriffsbefugnisse der US-Nachrichtendienste erfordern eine effektive Aufsichtsstruktur. In ihrem ersten Prüfbericht hatte die EU-Kommission indes kritisiert, dass das Privacy and Civil Liberties Oversight Board, welches die US-Regierung in Bürgerrechtsfragen berät, nicht handlungsfähig sei und dass sich sein Bericht zum Umsetzungsstand der PPD-28 unter Verschluss befinde. Beiden Forderungen ist die US-Regierung zwischenzeitlich nachgekommen (2. Bericht, S. 4). Die Ombudsperson des Privacy Shields ist hingegen weiterhin nur kommissarisch im Amt. Dabei stellt sie den zentralen Schutzmechanismus dar, an welchen sich Unionsbürger über ihre nationalen Datenschutz-Aufsichtsbehörden wenden können. Die Kommission hat der US-Regierung nun eine Frist bis zum 28.2.2019 gesetzt, um die Ombudsperson ordnungsgemäß zu ernennen. Dies ist die einzige konkrete Forderung in ihrem zweiten Prüfbericht, welche sie sogar mit der Androhung untermauert, den Privacy Shield doch noch auszusetzen (S. 6). Derzeit wird der IT-Unternehmer Keith Krach für dieses Amt gehandelt.
Man darf gleichwohl nicht dem Trugschluss erliegen, mit der ordentlichen Ernennung werde der Datenschutz europäischer Bürger nachhaltig gestärkt. Denn erstens ist die Ombudsperson dem US-Außenministerium zugeordnet und verfügt damit nicht über eine institutionelle Unabhängigkeit wie europäische Datenschutzbehörden (Art. 52 Abs. 1 DS-GVO). Und zweitens können die Betroffenen gegen ihre Entscheidungen nicht – auch nicht gegen ihr Untätigbleiben – prozessieren.
Eine politisch, aber keine rechtlich vertretbare Entscheidung
Aus den fehlenden Rechtschutzmöglichkeiten europäischer Bürger gegenüber dem Zugriff US-amerikanischer Sicherheitsbehörden auf ihre Daten ergibt sich, dass selbst wenn die US-Regierung den Privacy Shield den Kommissionswünschen entsprechend umsetzen würde, dies derzeit kein mit der DS-GVO gleichwertiges Datenschutzniveau begründen könnte. Die Kommissionentscheidung, an ihrem Angemessenheitsbeschluss festzuhalten, lässt sich daher datenschutzrechtlich nicht vertreten. Sie scheint vielmehr aus Sorge vor den ökonomischen und geopolitischen Folgen eines Wegfalls des Privacy Shields frei nach dem Motto „Augen zu und durch“ gehandelt zu haben. Dabei hat die Kommission jedoch das Grundrecht der Unionsbürger auf den Schutz ihrer personenbezogenen Daten (Art. 8 GRCh) pflichtwidrig ausgeblendet.
Zitiervorschlag: Botta, Augen zu und durch?, JuWissBlog Nr. 16/2019 v. 12.2.2019, https://www.juwiss.de/16-2019/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
