Zieht Brüssel die Reißleine? – Die ungewisse Zukunft des EU-US Privacy Shields

von JONAS BOTTA

Der von Edward Snowden öffentlich gemachte Umfang des Datenzugriffs US-amerikanischer Nachrichtendienste erschütterte die transatlantischen Beziehungen nachhaltig. Getrieben von der Rechtsprechung des EuGHs (Rs. C-362/14) war es der EU-Kommission daher ein besonderes Anliegen, den Datenschutz europäischer Bürger gegenüber US-Behörden entscheidend zu stärken, als 2015 Verhandlungen über eine neue Grundlage für den Datentransfer in die USA notwendig geworden waren. Wer jedoch geglaubt hatte, mit dem daraus resultierenden EU-US Privacy Shield hätte die Debatte über den transatlantischen Datenverkehr ihr Ende gefunden, der wird dieser Tage eines Besseren belehrt.

Vom sicheren Hafen zum Datenschutzschild

Im europäischen Datenschutzregime ist es für den grenzüberschreitenden Transfer personenbezogener Daten in Drittstaaten grundsätzlich erforderlich, dass im Drittstaat ein angemessenes Datenschutzniveau herrscht. Was schon unter der Datenschutzrichtlinie 95/46/EG (Art. 25, 26) galt, hat der unionale Verordnungsgeber auch in der Datenschutz-Grundverordnung (Art. 44 ff.) statuiert. Der Kommission steht es zu, solch ein angemessenes Schutzniveau per Durchführungsbeschluss festzustellen (Art. 25 Abs. 6 DSRL bzw. Art. 45 Abs. 3 DSGVO).

Für den wirtschaftlich bedeutenden Datenverkehr zwischen der EU und den USA beschloss die Kommission i. R. d. Safe-Harbor-Abkommens einen sektoralen Angemessenheitsbeschluss für die internationale Datenverarbeitung durch Unternehmen, die sich gegenüber dem US-Handelsministerium dazu verpflichtet haben, die im Abkommen niedergelegten Datenschutzgrundsätze zu achten. Als der EuGH im Jahr 2015 diesen Kommissionsbeschluss für unwirksam erklärte (Rs. C-362/14, Rn. 98), schien der transatlantische Datenverkehr dauerhaft erschüttert. Doch kein Jahr später einigte man sich auf das Nachfolgeabkommen namens EU-US Privacy Shield.

Löcher im Schutzschild

Wie schon Safe Harbor basiert der Privacy Shield auf einem System der Selbstzertifizierung privater Unternehmen. Der Zugriff US-amerikanischer Behörden – vornehmlich der Nachrichtendienste – auf die personenbezogenen Daten europäischer Bürger ist hingegen weiterhin nicht unmittelbar geregelt. Stattdessen finden sich im Abkommen nur Absichtserklärungen der US-Regierung, die Rechte betroffener Unionsbürger schützen zu wollen (EG 64 ff. Privacy Shield). Wesentlich soll hierzu die Presidential Policy Directive 28 beitragen, welche festlegt, dass US-Nachrichtendienste auch die Privatsphäre ausländischer Bürger zu achten haben. Individualrechte erfolgen aus der Direktive aber ausdrücklich nicht (§ 6 [d] PPD-28).

Für eine bessere Kontrolle der nachrichtendienstlichen Tätigkeiten hat man beim US-Außenministerium eine Ombudsstelle eingerichtet. Unionsbürgern steht es frei, sich über ihre nationale Datenschutzbehörde an diese zu wenden, sie können aber keine Auskunft erzwingen. Während die Ombusstelle zumindest kommissarisch besetzt ist, ist das für den Datenschutz gegenüber staatlichen Stellen ebenfalls maßgebliche Privacy and Civil Liberties Oversight Board weiterhin nicht handlungsfähig.

Transatlantische Verspannungen

Der derzeitige Umsetzungsstand des Privacy Shields führte Ende 2017 zur erheblichen Kritik der Artikel-29-Datenschutzgruppe, welche beiden Seiten eine Frist aussprach, die bestehenden Defizite bis zum 25.5.2018 zu beheben (WP 255, S. 4). Auch die Kommission mahnte in ihrem ersten Prüfbericht zum Privacy Shield Nachbesserungen an (S. 5 ff.), kam jedoch zum Schluss, dass das gewährleistete Datenschutzniveau weiterhin angemessen sei (S. 4).

Als der US-Kongress Anfang 2018 die Rechtsgrundlage für die Auslandsaufklärung (§ 702 FISA) verlängern musste, hatte er die Chance, den Individualrechtsschutz ausländischer Bürger zu stärken, indem er die PPD-28 hätte gesetzlich verankern können. Diesem Kommissionswunsch (Prüfbericht, S. 7) kam man jedoch nicht nach. Stattdessen trat im März der CLOUD Act in Kraft, der Unternehmen dazu verpflichtet, nicht in den USA gespeicherte Daten an US-Behörden herauszugeben. Das Gesetz sieht auch Abkommen über einen internationalen Datenaustausch zwischen Sicherheitsbehörden vor, die USA erkennt die Kommission bislang aber nicht als Verhandlungspartner an. Zugleich sieht die US-Regierung in der DSGVO vornehmlich eine Gefahr für die transatlantischen Wirtschaftsbeziehungen.

Der Druck aus Brüssel erhöht sich

Im Kontext des Skandals um Facebook und Cambridge Analytica setzte Anfang Juli auch das Europäische Parlament der Kommission eine Frist, den Privacy Shield bis zum 1.9.2018 entscheidend nachzubessern. Zwar ist die parlamentarische Entschließung nicht verbindlich, da die ausschließliche Kompetenz für Angemessenheitsbeschlüsse bei der Kommission liegt, aber sie hat den Druck auf die Kommission erhöht, im Gespräch mit den USA einen nachträglichen Erfolg für den Datenschutz europäischer Bürger zu erringen.

So erklärt sich auch der Brief der Justizkommissarin Vera Jourova an den US-Handelsminister Wilbur Ross, indem sie diesen aufforderte, den Privacy Shield bis Ende Oktober 2018 vollständig umzusetzen. Sollte die US-Regierung diesem Begehren nicht nachkommen, könnte die Kommission in ihrem anstehenden zweiten Prüfbericht zu dem Ergebnis kommen, dass das Datenschutzniveau nicht mehr angemessen sei. Dann müsste sie den Angemessenheitsbeschluss – wie vom Parlament gefordert – nach Art. 45 Abs. 5 DSGVO aussetzen.

Schrems II: Die Geschichte wiederholt sich

Doch selbst, wenn die EU-Organe es vorerst dabei beließen, immer neue Fristen zu setzen, ist die Zukunft des Privacy Shields ungewiss. Denn der österreichische Datenschutzaktivist Max Schrems könnte den Kommissionsbeschluss für den Datentransfer in die USA ein weiteres Mal vor dem EuGH zu Fall bringen.

Hintergrund ist die Entscheidung Facebooks, nach dem Safe-Harbor-Urteil seine grenzüberschreitende Datenverarbeitung auf Standarddatenschutzklauseln (SCC) zu stützen (Art. 26 Abs. 4 DSRL; Art. 46 Abs. 2 lit. c DSGVO). Dagegen reichte Schrems Beschwerde beim zuständigen irischen Data Protection Commissioner ein. Die Behörde legte den Fall dem High Court vor, der sich im April 2018 an den EuGH wandte. Dabei beschränkte sich das irische Gericht jedoch nicht auf Vorlagefragen zu den SCC, sondern bezog sich ausdrücklich auch auf den Privacy Shield (Vorlagefragen 9 und 10). Es ist daher zu erwarten, dass sich der EuGH in der Rechtssache „Schrems II“ damit auseinandersetzen wird, ob der Privacy Shield ein angemessenes Datenschutzniveau bewirkt hat oder – und hierfür sprechen insbesondere die Defizite bei der Kontrolle nachrichtendienstlicher Datenzugriffe – nicht.

Was wäre, wenn…

Aber was wäre, wenn die Kommission tatsächlich die Reißleine zöge und den Angemessenheitsbeschluss aussetzen würde, sobald die Frist im Oktober ergebnislos verstrichen ist oder wenn der EuGH erneut urteilen würde, dass der Kommissionsbeschluss unwirksam ist?

Im letzteren Fall fielen höchstwahrscheinlich auch die SCC als Rechtsgrundlage für einen internationalen Datentransfer weg. Die verbleibende Option – ein Rückgriff auf verbindliche interne Datenschutzvorschriften (BCR; Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO) – wäre jedoch wenig hilfreich, wenn Unternehmen Daten an US-Behörden herausgeben müssen, da BCR nur für unternehmensinterne Transfers gelten. Stattdessen müssten die Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO herhalten, diese sind aber grundsätzlich restriktiv auszulegen. Die Zeichen über den transatlantischen Datenströmen stehen damit weiterhin auf Sturm statt auf Entspannung.

Zitiervorschlag: Botta, Zieht Brüssel die Reißleine? – Die ungewisse Zukunft des EU-US Privacy Shields, JuWissBlog Nr. 74/2018 v. 17.8.2018, https://www.juwiss.de/74-2018/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Datenschutz, DSGVO, Jonas Botta, JuWiss, Privacy Shield, Safe Harbor, Selbstzertifizierung, Transatlantischer Datenverkehr
Nächster Beitrag
Hessische Halbherzigkeit
Vorheriger Beitrag
Die Einführung einer allgemeinen Dienstpflicht – ein Treppenwitz aus dem Sommerloch

Ähnliche Beiträge

JuWiss-Schwerpunktwoche zum Datenschutzrecht von STEFAN KIEBER Neuere technologische Entwicklungen bringen große Gefahren für die Privatsphäre und den Schutz personenbezogener Daten des Einzelnen mit sich. Der vorliegende Beitrag wirft einen Blick darauf, wie der Europäische Gerichtshof für Menschenrechte diesen Gefahren in Urteilen aus der jüngeren Vergangenheit begegnete. (mehr …)
Weiterlesen
Beobachtungen zum polnischen Gesetz über die Organisation der 24. UN-Klimakonferenz  von HANNAH BIRKENKÖTTER Ende Januar hat der polnische Sejm ein Gesetz verabschiedet, das Fragen rund um die Organisation der 24. UN-Klimakonferenz regelt, die im Dezember in Katowice stattfindet. Das Gesetz verbietet Spontanversammlungen während der Konferenz und erlaubt die anlasslose und…
Weiterlesen
JuWiss-Schwerpunktwoche zum Datenschutzrecht   von FELIX KRÄMER Mit der bis zum 06.05.2018 umzusetzenden sog. JI-Richtlinie und der Geltung der sog. Datenschutzgrundverordnung (DSGVO) ab dem 25.05.2018 ist ein Großteil der Reform des Europäischen Datenschutzrechts abgeschlossen. Dies wird zu Recht als Zeitwende oder Anbruch einer neuen Ära eingeordnet. Voraussetzung für eine kohärente…
Weiterlesen

3 Kommentare. Hinterlasse eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.