Nachdem der EuGH „Safe-Harbor“ gekippt hat, soll der am 1. August in Kraft getretene EU-US-Privacy-Shield den Austausch personenbezogener Daten zwischen der EU und den USA auf legale Beine stellen. Angesichts der vielfältigen Geschäftsbeziehungen zwischen der EU und den USA sowie einer Bußgeldandrohung von bis zu 300.000,- Euro pro Datenschutzverstoß ist das auch dringend geboten.

Der EU-US-Privacy-Shield soll die Rechtsgrundlage für den transatlantischen Datentransfer/-austausch bilden. Das ist existentiell, denn die bisher bestehenden Regelungen – bekannt unter dem Begriff Safe Harbor – hatte Anfang Oktober 2015 der EuGH gekippt. Seitdem besteht für Unternehmen ein nicht zu unterschätzendes Risiko. Denn, sofern personenbezogene Daten in der Cloud auf US-amerikanischen Servern liegen, drohen bei Datenschutzverstößen Bußgelder von bis zu 300.000,- Euro. Unternehmen, die sich die letzten 15 Jahre auf Safe Harbor gestützt haben, genießen zwar einen Vertrauensschutz und müssen für den bisherigen Datentransfer in die USA keine Maßnahmen seitens der Aufsichtsbehörden befürchten. Weitere Datenübermittlungen auf Basis von Safe Harbor sind jedoch nicht mehr zulässig.

Um dem Urteil des EuGH gerecht zu werden und die Rechtsicherheit wiederherzustellen, wurde der am 1. August in Kraft getretene EU-US-Privacy-Shield entworfen: Alle diesen Schutzschild ausmachenden Dokumente finden Sie im Netz – sowohl von Seiten der EU als auch von Seiten der USA.

Was ist der Privacy-Shield

Ins Ausland dürfen personenbezogene Daten nur übermittelt werden, sofern dort ein angemessenes Datenschutzniveau besteht. Letzteres ist derzeit nur in wenigen Staaten der Fall (vgl. Weltkarte). Damit dieses angemessene Datenschutzniveau auch in den USA erreicht wird, haben EU und USA im EU-US-Privacy-Shield Standards im Umgang mit den relevanten Daten vereinbart. Im Einzelnen wird versprochen, dass zur Gewährleistung des Datenschutzes Unternehmen stark in die Pflicht genommen und Verstöße strikt sanktioniert werden.

Klar definiert wird, wann und wie US-Behörden und Geheimdienste personenbezogene Daten von Europäern erheben und verarbeiten dürfen und das diese Befugnisse streng kontrolliert und überwacht werden; zudem versichert das Büro des Direktors der NSA die Einhaltung aller Abreden zwischen EU und USA mit Bezug zum Schutzschild und die Abschaffung anhaltsloser Massenüberwachungen.
EU-Bürger erhalten verschiedene Rechtsbehelfe, womit ein wirksamer Rechtschutz gewährleistet werden soll, zudem soll der Privacy-Shield einer jährlichen Überprüfung unterliegen, die garantieren soll, dass er funktioniert und dass die Versicherungen der US-Regierung und ihrer Geheimdienste eingehalten werden.

Für den Datenschutz sieht es weltweit aus europäischer Sicht überwiegend rot aus

Leere Versprechen

Bereits die Grundstruktur des derzeit geplanten Schutzschildes lässt Skepsis bezüglich seiner Vereinbarkeit mit dem Europarecht aufkommen. Ein für jedermann verständlicher und transparenter Schutzschild sieht jedenfalls anders aus als eine Ansammlung verschiedenster Dokumente. Zudem lassen die in Fachsprache gefassten Traktate mit häufigen Verweisen und ausschweifenden Be- und Umschreibungen sehr viel Interpretationsspielraum. Das angemessene Datenschutzniveau bleibt damit ebenso fraglich, wie bereits bei den Safe-Harbor-Vereinbarungen.

Versteckte Massenüberwachung

Die US-Geheimdienstaktivitäten sollen in Zukunft „so zugeschnitten wie möglich“ sein und erlauben den US-Geheimdiensten nach wie vor eine „massenhafte“ Datenerfassung in sechs Fällen:

1. Spionageabwehr
2. Terrorismusbekämpfung
3. Verhinderung der Verbreitung von Massenvernichtungswaffen
4. Bedrohungen der US- oder verbündeter Streitkräfte
5. Verfolgung internationaler, krimineller Bedrohungen
6. Gewährleistung der Cybersicherheit

Keine wirkliche Limitierung also! Max Schremm – er kippte mit seiner Klage Safe Harbor vor dem EuGH – stellte als Reaktion auf die nun vorgesehenen Vereinbarungen die rhetorische Frage: „Zurück nach Luxembourg?“

Max Schrems sieht im Privacy-Shield nur ein Safe Harbor-Schwein, dass mit Lippenstift aufgehübscht wurde!


Rechtliche Bewertung

Der Privacy-Shield wird ohne Frage wieder ein Fall für den EuGH und dürfte ebenfalls gekippt werden. Der EuGH hatte in seinem Urteil verschiedene Grundsätze aufgestellt, die erfüllt sein müssen, damit ein angemessenes Datenschutzniveau erreicht wird. Diese Grundsätze erfüllt der Privacy Shield allerdings nicht, denn:

1. Die Zusagen der USA sind nicht hinreichend rechtlich verbindlich
2. Der Privacy Shield widerspricht dem Transparenzgebot
3. Der Privacy Shield ist nicht hinreichend begründet, um eine Kommissionsfeststellung zum EU-Rechtskonformen-Datenschutzniveau in den USA zu rechtfertigen
4. US-Unternehmen müssen viel geringere Datenschutzanforderungen erfüllen als Unternehmen in Europa
5. EU-Bürger besitzen keinen wirksamen und durchsetzbaren Rechtschutz, insbesondere nicht gegen behördliche Eingriffe
6. Die Zugriffsmöglichkeiten auf personenbezogene Daten von EU-Bürgern durch Behörden und Geheimdienste der USA widersprechen dem EU-Recht
7. Es gibt in den USA keine unabhängige Datenschutzaufsicht

Interessierte finden eine detaillierte rechtliche Bewertung zu den oben angeführten Punkten von Thilo Weichert im Netz.

In der Wirtschaft und bei den Industrie- und Digitalverbänden wird der am 1. August in Kraft getretene Privacy Shield demgegenüber als Kompromiss überwiegend positiv aufgenommen. Das ist aber wohl mehr der Beseitigung des Schwebezustandes zu verdanken, als den tatsächlichen rechtlichen Gegebenheiten. Zumindest können die Unternehmen sich für den Zeitraum der Gültigkeit des Privacy Shields auf eine gewisse Rechtssicherheit stützen.

Handlungsempfehlungen

Trotz der derzeit wackeligen Grundlagen des internationalen Datenaustauschs – insbesondere mit den USA – gibt es auch noch zusätzliche Wege, die Datenübertragung rechtssicher zu gestalten und den länderübergreifenden Datentransfer legal abzuwickeln:

1. Ausnahmen nach dem Bundesdatenschutzgesetz

Sind Datenübermittlungen in Drittländer „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ erforderlich, so dürfen sie auch erfolgen. Zumbindest dann, wenn die Abwicklung des Vertrages ohne die Übertragung von Daten in Drittländer nicht möglich ist. Vergleichbares gilt für eine Datenübertragung, die im Interesse der Betroffenen erfolgt.

2. Einwilligung des Nutzers

Eine individuelle Erlaubnis der Betroffenen ermöglicht ebenfalls eine legale Datenübertragung. Das setzt in jedem Fall eine explizite Einwilligung voraus, die frei von Zwang erfolgt und jederzeit widerrufbar ist. Eine AGB-Klausel reicht dafür allerdings nicht!

3. Weitere Ausnahmen

Es gibt zudem noch die sogenannten Standardvertragsklauseln für die Datenübertragung in Drittländer. Allerdings stehen auch diese Klauseln derzeit auf dem Prüfstand und es ist wahrscheinlich, dass auch diese gekippt werden.

Fazit

Jeder, der digital personenbezogene Daten erhebt, speichert und verarbeitet, ist grundsätzlich von der Datenschutzproblematik betroffen. Um teure Bußgelder und Abmahnungen zu vermeiden, sollten Firmen ihre aktuellen Rechtstexte und Übermittlungsprozesse anwaltlich prüften lassen und gegebenenfalls überarbeiten.
Der EU-US-Privacy-Shield behebt die bereits Safe Harbor innewohnenden datenschutzrechtlichen Probleme zwar nicht, Unternehmen können sich aber, zumindest solange er in Kraft bleibt, daran orientieren.
Über dem transatlantischen Datenaustausch schwebt also weiterhin das Damokles-Schwert des EuGH, deren Datenschutzgrundsätzen er in keiner Weise gerecht wird. Auch die bisher gültigen Standardvertragsklauseln werden der gerichtlichen Überprüfung voraussichtlich nicht standhalten.
Damit gilt für deutsche und europäische Unternehmer, sofern sie noch keine Daten in die USA transferiert haben, dies bis auf weiteres zu unterlassen, auch um zukünftige Risiken zu vermeiden.
Unternehmen, die Daten in die USA transferieren müssen, sollten umgehend die Risiken evaluieren und dringend ihre Situation der aktuellen Rechtslage anpassen. US-Unternehmen stehen derzeit jedenfalls nicht Schlange, um sich den Regeln des neuen Privacy Shield zu unterwerfen. Eine Liste mit teilnehmenden Firmen finden Sie hier.