von JONAS BOTTA
Der von Edward Snowden öffentlich gemachte Umfang des Datenzugriffs US-amerikanischer Nachrichtendienste erschütterte die transatlantischen Beziehungen nachhaltig. Getrieben von der Rechtsprechung des EuGHs (Rs. C-362/14) war es der EU-Kommission daher ein besonderes Anliegen, den Datenschutz europäischer Bürger gegenüber US-Behörden entscheidend zu stärken, als 2015 Verhandlungen über eine neue Grundlage für den Datentransfer in die USA notwendig geworden waren. Wer jedoch geglaubt hatte, mit dem daraus resultierenden EU-US Privacy Shield hätte die Debatte über den transatlantischen Datenverkehr ihr Ende gefunden, der wird dieser Tage eines Besseren belehrt.
Vom sicheren Hafen zum Datenschutzschild
Im europäischen Datenschutzregime ist es für den grenzüberschreitenden Transfer personenbezogener Daten in Drittstaaten grundsätzlich erforderlich, dass im Drittstaat ein angemessenes Datenschutzniveau herrscht. Was schon unter der Datenschutzrichtlinie 95/46/EG (Art. 25, 26) galt, hat der unionale Verordnungsgeber auch in der Datenschutz-Grundverordnung (Art. 44 ff.) statuiert. Der Kommission steht es zu, solch ein angemessenes Schutzniveau per Durchführungsbeschluss festzustellen (Art. 25 Abs. 6 DSRL bzw. Art. 45 Abs. 3 DSGVO).
Für den wirtschaftlich bedeutenden Datenverkehr zwischen der EU und den USA beschloss die Kommission i. R. d. Safe-Harbor-Abkommens einen sektoralen Angemessenheitsbeschluss für die internationale Datenverarbeitung durch Unternehmen, die sich gegenüber dem US-Handelsministerium dazu verpflichtet haben, die im Abkommen niedergelegten Datenschutzgrundsätze zu achten. Als der EuGH im Jahr 2015 diesen Kommissionsbeschluss für unwirksam erklärte (Rs. C-362/14, Rn. 98), schien der transatlantische Datenverkehr dauerhaft erschüttert. Doch kein Jahr später einigte man sich auf das Nachfolgeabkommen namens EU-US Privacy Shield.
Löcher im Schutzschild
Wie schon Safe Harbor basiert der Privacy Shield auf einem System der Selbstzertifizierung privater Unternehmen. Der Zugriff US-amerikanischer Behörden – vornehmlich der Nachrichtendienste – auf die personenbezogenen Daten europäischer Bürger ist hingegen weiterhin nicht unmittelbar geregelt. Stattdessen finden sich im Abkommen nur Absichtserklärungen der US-Regierung, die Rechte betroffener Unionsbürger schützen zu wollen (EG 64 ff. Privacy Shield). Wesentlich soll hierzu die Presidential Policy Directive 28 beitragen, welche festlegt, dass US-Nachrichtendienste auch die Privatsphäre ausländischer Bürger zu achten haben. Individualrechte erfolgen aus der Direktive aber ausdrücklich nicht (§ 6 [d] PPD-28).
Für eine bessere Kontrolle der nachrichtendienstlichen Tätigkeiten hat man beim US-Außenministerium eine Ombudsstelle eingerichtet. Unionsbürgern steht es frei, sich über ihre nationale Datenschutzbehörde an diese zu wenden, sie können aber keine Auskunft erzwingen. Während die Ombusstelle zumindest kommissarisch besetzt ist, ist das für den Datenschutz gegenüber staatlichen Stellen ebenfalls maßgebliche Privacy and Civil Liberties Oversight Board weiterhin nicht handlungsfähig.
Transatlantische Verspannungen
Der derzeitige Umsetzungsstand des Privacy Shields führte Ende 2017 zur erheblichen Kritik der Artikel-29-Datenschutzgruppe, welche beiden Seiten eine Frist aussprach, die bestehenden Defizite bis zum 25.5.2018 zu beheben (WP 255, S. 4). Auch die Kommission mahnte in ihrem ersten Prüfbericht zum Privacy Shield Nachbesserungen an (S. 5 ff.), kam jedoch zum Schluss, dass das gewährleistete Datenschutzniveau weiterhin angemessen sei (S. 4).
Als der US-Kongress Anfang 2018 die Rechtsgrundlage für die Auslandsaufklärung (§ 702 FISA) verlängern musste, hatte er die Chance, den Individualrechtsschutz ausländischer Bürger zu stärken, indem er die PPD-28 hätte gesetzlich verankern können. Diesem Kommissionswunsch (Prüfbericht, S. 7) kam man jedoch nicht nach. Stattdessen trat im März der CLOUD Act in Kraft, der Unternehmen dazu verpflichtet, nicht in den USA gespeicherte Daten an US-Behörden herauszugeben. Das Gesetz sieht auch Abkommen über einen internationalen Datenaustausch zwischen Sicherheitsbehörden vor, die USA erkennt die Kommission bislang aber nicht als Verhandlungspartner an. Zugleich sieht die US-Regierung in der DSGVO vornehmlich eine Gefahr für die transatlantischen Wirtschaftsbeziehungen.
Der Druck aus Brüssel erhöht sich
Im Kontext des Skandals um Facebook und Cambridge Analytica setzte Anfang Juli auch das Europäische Parlament der Kommission eine Frist, den Privacy Shield bis zum 1.9.2018 entscheidend nachzubessern. Zwar ist die parlamentarische Entschließung nicht verbindlich, da die ausschließliche Kompetenz für Angemessenheitsbeschlüsse bei der Kommission liegt, aber sie hat den Druck auf die Kommission erhöht, im Gespräch mit den USA einen nachträglichen Erfolg für den Datenschutz europäischer Bürger zu erringen.
So erklärt sich auch der Brief der Justizkommissarin Vera Jourova an den US-Handelsminister Wilbur Ross, indem sie diesen aufforderte, den Privacy Shield bis Ende Oktober 2018 vollständig umzusetzen. Sollte die US-Regierung diesem Begehren nicht nachkommen, könnte die Kommission in ihrem anstehenden zweiten Prüfbericht zu dem Ergebnis kommen, dass das Datenschutzniveau nicht mehr angemessen sei. Dann müsste sie den Angemessenheitsbeschluss – wie vom Parlament gefordert – nach Art. 45 Abs. 5 DSGVO aussetzen.
Schrems II: Die Geschichte wiederholt sich
Doch selbst, wenn die EU-Organe es vorerst dabei beließen, immer neue Fristen zu setzen, ist die Zukunft des Privacy Shields ungewiss. Denn der österreichische Datenschutzaktivist Max Schrems könnte den Kommissionsbeschluss für den Datentransfer in die USA ein weiteres Mal vor dem EuGH zu Fall bringen.
Hintergrund ist die Entscheidung Facebooks, nach dem Safe-Harbor-Urteil seine grenzüberschreitende Datenverarbeitung auf Standarddatenschutzklauseln (SCC) zu stützen (Art. 26 Abs. 4 DSRL; Art. 46 Abs. 2 lit. c DSGVO). Dagegen reichte Schrems Beschwerde beim zuständigen irischen Data Protection Commissioner ein. Die Behörde legte den Fall dem High Court vor, der sich im April 2018 an den EuGH wandte. Dabei beschränkte sich das irische Gericht jedoch nicht auf Vorlagefragen zu den SCC, sondern bezog sich ausdrücklich auch auf den Privacy Shield (Vorlagefragen 9 und 10). Es ist daher zu erwarten, dass sich der EuGH in der Rechtssache „Schrems II“ damit auseinandersetzen wird, ob der Privacy Shield ein angemessenes Datenschutzniveau bewirkt hat oder – und hierfür sprechen insbesondere die Defizite bei der Kontrolle nachrichtendienstlicher Datenzugriffe – nicht.
Was wäre, wenn…
Aber was wäre, wenn die Kommission tatsächlich die Reißleine zöge und den Angemessenheitsbeschluss aussetzen würde, sobald die Frist im Oktober ergebnislos verstrichen ist oder wenn der EuGH erneut urteilen würde, dass der Kommissionsbeschluss unwirksam ist?
Im letzteren Fall fielen höchstwahrscheinlich auch die SCC als Rechtsgrundlage für einen internationalen Datentransfer weg. Die verbleibende Option – ein Rückgriff auf verbindliche interne Datenschutzvorschriften (BCR; Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO) – wäre jedoch wenig hilfreich, wenn Unternehmen Daten an US-Behörden herausgeben müssen, da BCR nur für unternehmensinterne Transfers gelten. Stattdessen müssten die Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO herhalten, diese sind aber grundsätzlich restriktiv auszulegen. Die Zeichen über den transatlantischen Datenströmen stehen damit weiterhin auf Sturm statt auf Entspannung.
Zitiervorschlag: Botta, Zieht Brüssel die Reißleine? – Die ungewisse Zukunft des EU-US Privacy Shields, JuWissBlog Nr. 74/2018 v. 17.8.2018, https://www.juwiss.de/74-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
3 Kommentare. Hinterlasse eine Antwort
Danke für den guten Artikel! Ich habe nur eine kleine Frage: Woraus ergibt sich, dass das Privacy and Civil Liberties Oversight Board nicht handlungsfähig ist?
Lieber Hans, danke für dein Interesse! Das PCLOB sieht gemäß 42 U.S.C § 2000ee (h) (5) ein Quorum von drei Mitgliedern vor (https://www.law.cornell.edu/uscode/text/42/2000ee). Aktuell besteht das Gremium aber nur aus einem Mitglied (https://www.pclob.gov/board-members/). Ernannt werden die Mitglieder vom US-Präsidenten mit Zustimmung des Senats.
[…] zum Privacy Shield veröffentlicht. Doch statt in Folge der bekannten Umsetzungsdefizite die Reißleine zu ziehen, ist sie erneut zu dem Ergebnis gekommen, dass unter seinem Regime ein angemessenes […]