JuWiss-Schwerpunktwoche zum Datenschutzrecht
Basieren Datenübermittlungen in die USA aufgrund von Privacy Shield nun – nach dem Ende von Safe Harbor – auf einer gesicherten Rechtsgrundlage oder ist der Privacy Shield brandgefährlich für einen effektiven Datenschutz? Der Privacy Shield stellt die Nachfolgeregelung des vom EuGH gekippten Angemessenheitsbeschlusses zu Safe Harbor (C-362/14, Rs Schrems) dar und beinhaltet neue Regelungen für Datentransfers aus der EU in die USA. In einem Angemessenheitsbeschluss nach Art. 25 DS-RL kann die Kommission die Zulässigkeit von Datentransfers in einen bestimmten Drittstaat feststellen, weil dieser Drittstaat einen adäquaten Schutz personenbezogener Daten gewährleistet. Der EuGH hat die Entscheidung der Kommission zu Safe Harbor zwar aus formalen Gründen (einerseits fehlten Feststellungen, ob die USA ein der EU gleichwertiges Datenschutzniveau aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen gewährleisten und andererseits hat die Kommission die ihr übertragene Zuständigkeit überschritten; Rs Schrems, Rn 97f, 104) für ungültig erklärt, doch hat er im Urteil auch das Handeln der US-Geheimdienste und die in den USA entsprechenden Rechtsgrundlagen kritisch beäugt.
Im Folgenden werden einige Aspekte zum Privacy Shield unter die Lupe genommen.
Selbstzertifizierung
Der Privacy Shield weist in der Grundstruktur viele Ähnlichkeiten zu Safe Harbor auf. So unterwerfen sich US-Unternehmen den Bedingungen des Privacy Shield ebenfalls durch Selbstzertifizierung und die Einhaltung der Datenschutzregeln unterliegt der Kontrolle des US-Handelsministeriums. Unternehmen, die sich den Grundsätzen des Privacy Shield unterwerfen, werden in der Privacy Shield Liste angeführt.
Zugriffsrechte der US-Behörden
Der EuGH hat in seinem Urteil zu Safe Harbor eine Verletzung des Wesensgehalts von Art. 7 GRC und damit die Unverhältnismäßigkeit des Eingriffs iSd Art. 52 Abs 1 S 2 GRC festgestellt und massiv kritisiert, denn die Behörden konnten „generell auf den Inhalt elektronischer Kommunikation zugreifen“. Die Kommission selbst hatte in zwei Mitteilungen unverhältnismäßige Eingriffsbefugnisse der US-Behörden konstatiert.
Unter dem Privacy Shield Regelwerk soll ein Datenzugriff der US-Behörden aus Gründen der Rechtsdurchsetzung und der nationalen Sicherheit (dazu zählen unter anderem Bereiche wie Terrorismus, Massenvernichtungswaffen, Bedrohungen für das Militär und transnationale kriminelle Bedrohungen; Privacy Shield, Rn 67ff) nur unter der Einhaltung von klaren Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen möglich sein. Die US-Behörden haben rechtlich unverbindliche Zusagen dahingehend gemacht, dass eine Überwachung von EU-Bürgern durch US-Behörden nur mehr dann zulässig ist, wenn sie unter Beachtung von Verhältnismäßigkeitsgrundsätzen und zweckgebunden erfolgt.
Die Tatsache, dass US-amerikanische Gesetze wie der FISA (Foreign Intelligence Surveillance Act) und der USA Freedom Act einen nahezu uneingeschränkten staatlichen Datenzugriff gestatten, wodurch also weiterhin eine anlasslose, massenhafte Speicherung von personenbezogenen Daten erlaubt ist, ist mit Blick auf den Grundrechtsschutz der EU-Bürger kritisch zu sehen. Trotzdem hat die Kommission in ihrer Beurteilung dargelegt, dass diese Rechtsgrundlagen bei der Übermittlung personenbezogener Daten nach dem Privacy Shield ebenfalls „Eingriffe staatlicher Behörden auf die gezielte Sammlung und den gezielten Zugang einschränken“ (Privacy Shield, Rn 80).
Rechtsschutz
Der EuGH hat in der Rs. Schrems in der fehlenden Möglichkeit, dass Bürger mittels eines Rechtsbehelfs Zugang zu den sie betreffenden personenbezogenen Daten erlangen sowie eine Berichtigung oder Löschung unter Zuhilfenahme eines unabhängigen Gerichts erwirken können, eine Verletzung des Wesensgehalts von Art. 47 GRC gesehen. Wie sieht es nun nach der neuen Regelung im Privacy Shield aus?
Ein wichtiger Grundsatz für den Schutz der Privatsphäre ist das Auskunftsrecht, womit den Einzelnen ermöglicht wird, die Richtigkeit der sie betreffenden gespeicherten Daten zu überprüfen. Kommt es zu einem vermeintlichen Missbrauch der Privacy Shield Regelungen durch in den USA ansässige Unternehmen, so haben Betroffene aufgrund des Privacy Shield direkt beim selbstzertifizierten Unternehmen eine Beschwerdemöglichkeit. EU-Bürgern steht ein kostenloses Verfahren zur alternativen Streitbeilegung offen, außerdem kann eine Beschwerde bei der nationalen Datenschutzbehörde eingebracht werden. Bei Erfolglosigkeit der Rechtsbehelfe kann ein Schiedsverfahren in Betracht gezogen werden, wobei es zu einer Anrufung des Privacy Shield-Panels kommt.
Im US-Außenministerium ist eine Ombudsstelle vorgesehen, sie stellt eine Kontaktmöglichkeit für die europäischen Datenschutzbehörden bei Problemen mit der US-Überwachung dar. Der Ombudsmechanismus soll eine unabhängige Kontrolle und individuellen Rechtsschutz garantieren (Privacy Shield, Rn 116ff). Nach von Lewinski handelt es sich dabei um eine Institution, „die als Transmissionsriemen die Beschwerde über einen individuellen Grundrechtseingriff (nach europäischem Recht) in die Beseitigung eines Compliance-Verstoßes (nach US-amerikanischem Verständnis) übersetzt“ – mit individuellen datenschutzrechtlichen Betroffenenansprüchen wird sie nicht befasst.
Schrems erläutert, dass es sich bei der Ombudsstelle „um eine weisungsgebundene politische ‚Unterstaatssekretärin‘ im US-Außenministerium, die zwar innerhalb der US-Behörden intervenieren kann, schlussendlich jedoch eine vollkommen uniforme Antwort an die europäischen Behörden senden muss“ handelt.
Die Ombudsperson ist nicht verpflichtet offenzulegen, ob personenbezogene Daten rechtswidrig verarbeitet bzw. gelöscht wurden oder nicht. Es ist also insgesamt zweifelhaft, ob dieser Mechanismus ausreichend ist, um den Kritikpunkten des EuGH gerecht zu werden.
Jährliche Überprüfung
Die Kommission und das US-Handelsministerium werden gemeinsam eine jährliche Evaluierung hinsichtlich Einhaltung und Funktionsweise des Privacy Shield vornehmen und eventuelle Verbesserungen durchführen. Die Artikel-29-Gruppe (Datenschutzgruppe) hat nach der ersten Überprüfung im September 2017 die Kommission zu Nachbesserungen aufgefordert, denn das vom Privacy Shield geschaffene Datenschutzniveau in den USA sei in der Sache nicht gleichwertig mit jenem in der EU. Die Kommission hat die Bedenken abgetan, sie kommt zum Ergebnis, „dass der Datenschutzschild weiterhin ein angemessenes Datenschutzniveau für aus der EU an die teilnehmenden Unternehmen in den USA übertragene personenbezogene Daten gewährleistet.“
Stellt der Privacy Shield ein Wiederaufflammen von Safe Harbor dar?
Es können punktuell zwar Verbesserungen festgestellt werden (positiv hervorzuheben ist vor allem, dass das System der Selbstzertifizierung nun Überwachungs- und Kontrollmechanismen unterliegt und dass eine jährliche Überprüfung des Privacy Shield durchgeführt wird), doch sind viele neue Regelungen jenen von Safe Harbor sehr ähnlich und daher gar nicht so neu. So sind etwa in Bezug auf die Überwachung durch die US-Behörden kaum Verbesserungen eingetreten. Da die Zusagen der US-Behörden rechtlich unverbindlich sind, hängt der Datenschutz sehr vom Wohlwollen der US-Behörden ab; die Durchsetzbarkeit der Rechte der betroffenen Personen kann so allerdings nicht in vollem Umfang gewährleistet werden.
Da die Kommission bisher keine Nachbesserungen durchgeführt hat und viele Kritikpunkte des EuGH aus der Rs. Schrems wenig beachtet wurden, kann der Schluss gezogen werden, dass Safe Harbor – auch wenn der Prüfungsmaßstab nicht die Safe Harbor Regelung ist, sondern die vom EuGH aufgestellten Grundsätze und Anforderungen – im Privacy Shield (zumindest) zum Teil wieder aufflammt. Der Privacy Shield wird einer Prüfung durch den EuGH wohl kaum bzw. wenn, dann nur mit sehr viel Gegenwind standhalten. Es ist wohl nicht davon auszugehen, dass der EuGH seine bisherige grundrechtsfreundliche Rechtsprechungslinie (diese zeigt sich beispielhaft in der Rs. Schrems sowie im Urteil zur Vorratsdatenspeicherung) über Bord wirft.
Künftig besteht jedenfalls gemäß Art. 45 DS-GVO (mit Unterschieden bei der Prüfung der Angemessenheit des gebotenen Datenschutzniveaus zur bisherigen Regelung nach Art. 25 DS-RL) weiterhin die Möglichkeit, dass die Kommission mittels Beschlusses die Angemessenheit des Datenschutzniveaus für Drittstaaten feststellen kann.
Zitiervorschlag: Niedrist, Privacy Shield – das Wiederaufflammen von Safe Harbor?, JuWissBlog Nr. 55/2018 v. 30.5.2018, https://www.juwiss.de/55-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.