Zieht Brüssel die Reißleine? – Die ungewisse Zukunft des EU-US Privacy Shields

von JONAS BOTTA

Der von Edward Snowden öffentlich gemachte Umfang des Datenzugriffs US-amerikanischer Nachrichtendienste erschütterte die transatlantischen Beziehungen nachhaltig. Getrieben von der Rechtsprechung des EuGHs (Rs. C-362/14) war es der EU-Kommission daher ein besonderes Anliegen, den Datenschutz europäischer Bürger gegenüber US-Behörden entscheidend zu stärken, als 2015 Verhandlungen über eine neue Grundlage für den Datentransfer in die USA notwendig geworden waren. Wer jedoch geglaubt hatte, mit dem daraus resultierenden EU-US Privacy Shield hätte die Debatte über den transatlantischen Datenverkehr ihr Ende gefunden, der wird dieser Tage eines Besseren belehrt.

Vom sicheren Hafen zum Datenschutzschild

Im europäischen Datenschutzregime ist es für den grenzüberschreitenden Transfer personenbezogener Daten in Drittstaaten grundsätzlich erforderlich, dass im Drittstaat ein angemessenes Datenschutzniveau herrscht. Was schon unter der Datenschutzrichtlinie 95/46/EG (Art. 25, 26) galt, hat der unionale Verordnungsgeber auch in der Datenschutz-Grundverordnung (Art. 44 ff.) statuiert. Der Kommission steht es zu, solch ein angemessenes Schutzniveau per Durchführungsbeschluss festzustellen (Art. 25 Abs. 6 DSRL bzw. Art. 45 Abs. 3 DSGVO).

Für den wirtschaftlich bedeutenden Datenverkehr zwischen der EU und den USA beschloss die Kommission i. R. d. Safe-Harbor-Abkommens einen sektoralen Angemessenheitsbeschluss für die internationale Datenverarbeitung durch Unternehmen, die sich gegenüber dem US-Handelsministerium dazu verpflichtet haben, die im Abkommen niedergelegten Datenschutzgrundsätze zu achten. Als der EuGH im Jahr 2015 diesen Kommissionsbeschluss für unwirksam erklärte (Rs. C-362/14, Rn. 98), schien der transatlantische Datenverkehr dauerhaft erschüttert. Doch kein Jahr später einigte man sich auf das Nachfolgeabkommen namens EU-US Privacy Shield.

Löcher im Schutzschild

Wie schon Safe Harbor basiert der Privacy Shield auf einem System der Selbstzertifizierung privater Unternehmen. Der Zugriff US-amerikanischer Behörden – vornehmlich der Nachrichtendienste – auf die personenbezogenen Daten europäischer Bürger ist hingegen weiterhin nicht unmittelbar geregelt. Stattdessen finden sich im Abkommen nur Absichtserklärungen der US-Regierung, die Rechte betroffener Unionsbürger schützen zu wollen (EG 64 ff. Privacy Shield). Wesentlich soll hierzu die Presidential Policy Directive 28 beitragen, welche festlegt, dass US-Nachrichtendienste auch die Privatsphäre ausländischer Bürger zu achten haben. Individualrechte erfolgen aus der Direktive aber ausdrücklich nicht (§ 6 [d] PPD-28).

Für eine bessere Kontrolle der nachrichtendienstlichen Tätigkeiten hat man beim US-Außenministerium eine Ombudsstelle eingerichtet. Unionsbürgern steht es frei, sich über ihre nationale Datenschutzbehörde an diese zu wenden, sie können aber keine Auskunft erzwingen. Während die Ombusstelle zumindest kommissarisch besetzt ist, ist das für den Datenschutz gegenüber staatlichen Stellen ebenfalls maßgebliche Privacy and Civil Liberties Oversight Board weiterhin nicht handlungsfähig.

Transatlantische Verspannungen

Der derzeitige Umsetzungsstand des Privacy Shields führte Ende 2017 zur erheblichen Kritik der Artikel-29-Datenschutzgruppe, welche beiden Seiten eine Frist aussprach, die bestehenden Defizite bis zum 25.5.2018 zu beheben (WP 255, S. 4). Auch die Kommission mahnte in ihrem ersten Prüfbericht zum Privacy Shield Nachbesserungen an (S. 5 ff.), kam jedoch zum Schluss, dass das gewährleistete Datenschutzniveau weiterhin angemessen sei (S. 4).

Als der US-Kongress Anfang 2018 die Rechtsgrundlage für die Auslandsaufklärung (§ 702 FISA) verlängern musste, hatte er die Chance, den Individualrechtsschutz ausländischer Bürger zu stärken, indem er die PPD-28 hätte gesetzlich verankern können. Diesem Kommissionswunsch (Prüfbericht, S. 7) kam man jedoch nicht nach. Stattdessen trat im März der CLOUD Act in Kraft, der Unternehmen dazu verpflichtet, nicht in den USA gespeicherte Daten an US-Behörden herauszugeben. Das Gesetz sieht auch Abkommen über einen internationalen Datenaustausch zwischen Sicherheitsbehörden vor, die USA erkennt die Kommission bislang aber nicht als Verhandlungspartner an. Zugleich sieht die US-Regierung in der DSGVO vornehmlich eine Gefahr für die transatlantischen Wirtschaftsbeziehungen.

Der Druck aus Brüssel erhöht sich

Im Kontext des Skandals um Facebook und Cambridge Analytica setzte Anfang Juli auch das Europäische Parlament der Kommission eine Frist, den Privacy Shield bis zum 1.9.2018 entscheidend nachzubessern. Zwar ist die parlamentarische Entschließung nicht verbindlich, da die ausschließliche Kompetenz für Angemessenheitsbeschlüsse bei der Kommission liegt, aber sie hat den Druck auf die Kommission erhöht, im Gespräch mit den USA einen nachträglichen Erfolg für den Datenschutz europäischer Bürger zu erringen.

So erklärt sich auch der Brief der Justizkommissarin Vera Jourova an den US-Handelsminister Wilbur Ross, indem sie diesen aufforderte, den Privacy Shield bis Ende Oktober 2018 vollständig umzusetzen. Sollte die US-Regierung diesem Begehren nicht nachkommen, könnte die Kommission in ihrem anstehenden zweiten Prüfbericht zu dem Ergebnis kommen, dass das Datenschutzniveau nicht mehr angemessen sei. Dann müsste sie den Angemessenheitsbeschluss – wie vom Parlament gefordert – nach Art. 45 Abs. 5 DSGVO aussetzen.

Schrems II: Die Geschichte wiederholt sich

Doch selbst, wenn die EU-Organe es vorerst dabei beließen, immer neue Fristen zu setzen, ist die Zukunft des Privacy Shields ungewiss. Denn der österreichische Datenschutzaktivist Max Schrems könnte den Kommissionsbeschluss für den Datentransfer in die USA ein weiteres Mal vor dem EuGH zu Fall bringen.

Hintergrund ist die Entscheidung Facebooks, nach dem Safe-Harbor-Urteil seine grenzüberschreitende Datenverarbeitung auf Standarddatenschutzklauseln (SCC) zu stützen (Art. 26 Abs. 4 DSRL; Art. 46 Abs. 2 lit. c DSGVO). Dagegen reichte Schrems Beschwerde beim zuständigen irischen Data Protection Commissioner ein. Die Behörde legte den Fall dem High Court vor, der sich im April 2018 an den EuGH wandte. Dabei beschränkte sich das irische Gericht jedoch nicht auf Vorlagefragen zu den SCC, sondern bezog sich ausdrücklich auch auf den Privacy Shield (Vorlagefragen 9 und 10). Es ist daher zu erwarten, dass sich der EuGH in der Rechtssache „Schrems II“ damit auseinandersetzen wird, ob der Privacy Shield ein angemessenes Datenschutzniveau bewirkt hat oder – und hierfür sprechen insbesondere die Defizite bei der Kontrolle nachrichtendienstlicher Datenzugriffe – nicht.

Was wäre, wenn…

Aber was wäre, wenn die Kommission tatsächlich die Reißleine zöge und den Angemessenheitsbeschluss aussetzen würde, sobald die Frist im Oktober ergebnislos verstrichen ist oder wenn der EuGH erneut urteilen würde, dass der Kommissionsbeschluss unwirksam ist?

Im letzteren Fall fielen höchstwahrscheinlich auch die SCC als Rechtsgrundlage für einen internationalen Datentransfer weg. Die verbleibende Option – ein Rückgriff auf verbindliche interne Datenschutzvorschriften (BCR; Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO) – wäre jedoch wenig hilfreich, wenn Unternehmen Daten an US-Behörden herausgeben müssen, da BCR nur für unternehmensinterne Transfers gelten. Stattdessen müssten die Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO herhalten, diese sind aber grundsätzlich restriktiv auszulegen. Die Zeichen über den transatlantischen Datenströmen stehen damit weiterhin auf Sturm statt auf Entspannung.

Zitiervorschlag: Botta, Zieht Brüssel die Reißleine? – Die ungewisse Zukunft des EU-US Privacy Shields, JuWissBlog Nr. 74/2018 v. 17.8.2018, https://www.juwiss.de/74-2018/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

, , , , , , ,
Nächster Beitrag
Hessische Halbherzigkeit
Vorheriger Beitrag
Die Einführung einer allgemeinen Dienstpflicht – ein Treppenwitz aus dem Sommerloch

Ähnliche Beiträge

Vom 18. bis zum 20. September 2013 findet in Berlin im Abgeordnetenhaus die 8. Internationale Konferenz der Informationsfreiheitsbeauftragten (ICIC 2013) statt, die der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, ausrichten wird. Das vorläufige Programm kann…
Weiterlesen
von JONAS BOTTA Wer die Verarbeitung personenbezogener Daten allein oder gemeinsam verantwortet, muss Sorge für ihre Rechtmäßigkeit tragen. Ein fundamentaler Grundsatz des Datenschutzrechts mit weitreichenden Folgen. Nun hat der EuGH entschieden, dass der Betreiber einer Facebook-Fanpage mitverantwortlich für die Datenverarbeitung durch das soziale Netzwerk selbst sei (Rs. C-216/10). Die ersten…
Weiterlesen
JuWiss-Schwerpunktwoche zum Datenschutzrecht   von OSKAR GSTREIN While states across Europe and the world continue to draft and enact new legal frameworks and policies relating to governmental surveillance, it remains highly questionable whether society moves in the right direction. (Online) privacy seemingly is more endangered than ever before. Traditional safeguards…
Weiterlesen

3 Kommentare. Hinterlasse eine Antwort

Schreibe einen Kommentar zu Augen zu und durch? Der neue Kommissionsbericht zum EU-US Privacy Shield › JuWissBlog Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü