Der Nachfolger des EU-US-Datentransferabkommen Safe-Harbor ist unter der Bezeichnung Privacy Shield bekannt und Mitte 2016 offiziell eingeführt worden. Das neue Datenabkommen soll als Garant für die Berücksichtigung europäischer Datenschutznormen bei Datenübermittlungen in die USA dienen, wie sie beispielsweise tagtäglich bei der Nutzung von Social-Media-Plattformen anfallen. Jedoch zeigen sich die USA in vielen Bereichen nicht willens, auf grundlegende Forderungen von Datenschützern und dem europäischen Parlament einzugehen. Welche längerfristigen Auswirkungen hat dies auf den transatlantischen Datentransfer?
Der konkrete Abschluss eines Übereinkommens zum Schutz von europäischen Daten war von der Europäischen Kommission Anfang 2016 offiziell bestätigt worden. Nachdem Ende 2015 der Europäische Gerichtshof das bisherige Datenschutzabkommen Safe Harbor abgewiesen hatte, wurde durch die europäischen Aufsichtsbehörden zunächst ein Aufschub bis Ende Januar 2016 verabschiedet, wonach in dieser Zeit Datentransfers in die USA nicht kontrolliert werden sollten. Daraufhin kam es innerhalb vieler Unternehmen zu Missmut und Unsicherheit, da bei unrechtmäßigen Datentransfers Bußgelder durch die Aufsichtsbehörden auferlegt werden können.
Der für die Verabschiedung des Privacy Shields essenzielle Judicial Redress Act wurde von US-Präsident Barack Obama am 25. Februar 2016 unterzeichnet. Dieses Gesetz eröffnet EU-Bürgern die Möglichkeit einer Klage in den USA, falls US-Unternehmen sich eine Verletzung des Datenschutzes zuschulden haben kommen lassen. Anfang Juli 2016 hatten sich bereits einige EU-Mitgliedsstaaten auf die Konditionen der Safe Harbor Resolution geeinigt.
Mit der schlussendlichen europäischen Anerkennung des Datenschutzniveaus wurde somit ein neues rechtliches Fundament für den transatlantischen Datenverkehr geschaffen. In der konkreten Praxis bedeutet dies, dass Onlinedienste wie Facebook, Amazon und Google die personenbezogenen Daten ihrer User legal sammeln und die Datenpakete in die USA weiterleiten dürfen. Grundlage für die schlussendliche europäische Zustimmung nach der Angemessenheitsentscheidung sind die sogenannten Privacy-Shield-Vereinbarungen, in denen die US-Regierung bestimmte Standards zusichert, durch die das Datenschutzniveau in den USA gespeicherter, personenbezogener Daten auf ein Niveau angehoben werden soll, das grob den europäischen Standards entspricht.
US-Außenminister John Kerry versicherte, innerhalb des Außenministeriums eine von allen Nachrichtendiensten unabhängige Ombudsstelle zu etablieren, an welche sich EU-Bürger mit Anliegen zu Rechtschutz wenden können. Diese Anlaufstelle wird allen Anliegen von Privatpersonen nachgehen und in konkreten Fällen Auskunft erteilen, ob geltendes Recht eingehalten wurde.
Für EU-Bürgerinnen und -Bürger wurden zudem Rechtsbehelfe zugesichert. Die involvierten Unternehmen müssen den Anliegen innerhalb von 45 Tagen nachkommen. Interessanterweise steht auch ein kostenloses Verfahren der alternativen Schlichtung zur Verfügung. Alle EU-Bürger können sich alternativ auch an ihre nationalen Datenschutzbehörden wenden. Daraufhin bemüht sich diese zusammen mit der US Federal Trade Commission darum, dass dem Anliegen nachgegangen wird. Das Schiedsverfahren mit einem vollstreckbaren Schiedsspruch ist die letzte Instanz, falls keine andere Form der Einigung gefunden werden kann. Alle Unternehmen können zusätzlich auch nach den Empfehlungen europäischer Datenschutzbehörden handeln. Jene Unternehmen, die Personaldaten verarbeiten, sind hierzu ohnehin verpflichtet.
Einmal im Jahr soll die Funktionsweise des Datenschutzschilds und der Datenzugriffs kontrolliert werden. Die EU-Kommission und das US-amerikanische Handelsministerium führen diese Überprüfung gemeinsam unter Einbezug von Sachverständigen durch. Auf einem jährlich geplanten Datenschutzgipfel sollen die fortlaufenden Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger erörtert werden. Ein öffentlich einsehbarer Bericht an das Europäische Parlament und den Rat soll daraufhin auch folgen.
Konkret dürfen für 6 Bereiche legal Daten gesammelt werden, wobei die Grenzen dieser Bereiche interpretationswürdig sind. Die 6 zulässigen Bereiche für legale Massenüberwachung werden folgendermaßen klassifiziert:
US-amerikanische Unternehmen, die die Privacy-Shield-Regelungen befolgen wollen, haben seit August 2016 die Möglichkeit, sich im Rahmen einer Selbstzertifizierung zu den Prinzipien des Privacy Shields zu bekennen. Der überwiegende Anteil der dem Privacy Shield zugrundeliegenden Reglementierungen war bereits Bestandteil des Safe-Harbor-Abkommens. Allerdings wurden einige Anforderungen verschärft und erweitert, damit das Privacy Shield im Ergebnis strengere Anforderungen an die Empfängerunternehmen im transatlantischen Datenverkehr stellt als sein Vorgänger. Von Gleichwertigkeit mit den europäischen Standards zu Datensicherheit kann allerdings hierbei keine Rede sein, da nur für solche Unternehmen die Einhaltung der EU-Standards verpflichtend ist, die Personaldaten verarbeiten.
Eine auf der Webseite der Federal Trade Commission veröffentlichte Liste führt alle derzeit zur Sammlung von Daten zertifizierten Unternehmen auf. Hierbei muss der Vollständigkeit halber beachtet werden, dass außer den aufgelisteten Unternehmen diverse Tochtergesellschaften hinzukommen (z.B. Microsoft mit 20 Subunternehmen).
Die Privacy-Shield-Vereinbarung bringt einige Vorteile für die europäischen Nutzer. Prominentes Beispiel hierfür ist der Zweckbindungsgrundsatz, der ein integraler Bestandteil der EU-Datenschutzgrundverordnung sein wird. Dieser besagt, dass Daten ausschließlich zu einem im Voraus festgelegten, unmissverständlichen und rechtlich zulässigen Zweck protokolliert und verarbeitet werden dürfen. Des Weiteren seien vor allem die Rechte der EU-Bürger gestärkt worden, da sie sich im Falle von konkreten Datenschutzverstößen von US-Unternehmen über diverse Instanzen, wie etwa einer Ombudsperson, beschweren können.
Den Kritikern des Privacy Shields ist das Abkommen jedoch noch nicht weitreichend genug. Die Forderungen des Europäischen Gerichtshofs würden nicht ausreichend erfüllt, sondern die Unstimmigkeiten kosmetisch kaschiert. Eine konkrete Überprüfung der Klauseln des Privacy Shields durch den Europäischen Gerichtshof würde demnach nicht positiv ausfallen. Die auffällig geringen Unterschiede zu Safe Harbor werden direkt angeprangert, und laut vielen Kritiker läge die Vermutung nahe, dass durch den Privacy Shield diverse Datenschutzschlupflöcher de facto nicht geschlossen worden sind.
Ebenso unterliegen die Massenüberwachungsmaßnahmen keiner Verhältnismäßigkeitsprüfung, was gegen europäisches Recht verstoße. Die Instanz der USA als zentraler Kontrollmachthaber sei noch immer gegeben und eine Untersuchung von nationalen Aufsichtsbehörden nicht erkennbar. Die dringend notwendige Kontrolle der großen US-Onlineunternehmen finde demnach nicht statt, was auf ein erneutes Scheitern der Resolution schließen lasse.
Innerhalb der EU bedeutet der EU-US Privacy Shield für viele Unternehmen keine wirkliche Entlastung, da die Neureglungen nur sehr bedingt zur Rechtssicherheit beitragen. Viele Onlineunternehmen sind im juristischen Rahmen, wie beispielsweise bei einem Gerichtsprozess, auf die transatlantische Übermittlung von Daten angewiesen. Auch wenn sich Empfänger der Datenpakete in den USA aufgrund der Neureglungen des neuen Datenschutzschildes selbst zertifizieren können, sind sie nicht vor erneuten gerichtlichen Entscheidungen gegen das neue Konzept gefeit.
Daher ist es denkbar, dass viele Unternehmen nicht auf den Privacy Shield bauen und somit auf eine Datenübermittlung auf Basis der neuen Resolution verzichten. Eine sicherere Alternative wäre beispielsweise die Implementierung der EU-Standardvertragsklauseln. Jedoch ist auch in diesem Fall keine absolute Rechtssicherheit garantiert. Die irische Datenschutzbehörde hat bereits verlauten lassen, auch diese Richtlinien juristisch genauer prüfen zu lassen.
Die Diskussion um den Sinn der Privacy-Shield-Reglungen wird vermutlich nicht so schnell abflachen. Jene Unternehmen, die auf eine unmissverständliche, juristisch einwandfreie Reglung gehofft hatten, müssen schlussendlich die gerichtliche Überprüfung des Abkommens abwarten.
Und wenn sich Unternehmen beim Datentransfer weiterhin auf die EU-Standardvertragsklauseln berufen, sind diese auch nicht sicherer als Safe Harbor seinerzeit. So betonen Datenschützer, dass die Argumente, die bereits das Abkommen Safe Harbor kritisch beleuchteten, auch auf die Klauseln der momentan nach EU-Recht gültigen Verordnungen anwendbar wären – und folglich auch diese Verordnungen einer genauen juristischen Prüfung nicht standhalten würden.
Abschließend lässt sich feststellen, dass die personenbezogene Datenübermittlung in die USA für Unternehmen auch künftig ein unsicheres Feld darstellen wird. Der Transfer von Daten in die USA bleibt im Rahmen der momentan gültigen Reglungen weiterhin eher eine juristische Grauzone. Den betroffenen Unternehmen ist zu empfehlen, die datenschutzrechtlichen Entwicklungen genau zu verfolgen. Anfang 2017 kündigte die EU-Justizkommission mit dem Beginn der Regierung unter Präsident Trump eine genauere Prüfung der Reglementierungen des Privacy Shields an.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.
Das Datenschutzrecht im E-Commerce ist besonders knifflig. Egal, ob bei Onlinebestellungen oder beim Surfen durchs Web – Nutzer, die sich im Internet bewegen, hinterlassen dabei Spuren. Viele dieser Nutzerdaten sind für Unternehmen interessant, denn diese möchten Werbung und Angebote passgenau auf ihre potenziellen Kunden zuschneiden. Aber welche Daten dürfen sie tatsächlich speichern? Welche...
Seit dem 25. Mai 2018 gibt es das neue europäische Gesetz zum Datenschutz. Wir fassen alles Wissenswerte zur neuen Datenschutz-Grundverordnung für Unternehmer und Onlinehändler zusammen. Welche relevanten Gesetze haben sich geändert? Welche Maßnahmen muss man ergreifen, um weiterhin datenschutzkonform wirtschaften zu können? Und was halten Experten eigentlich von den Neuregelungen?
Der CLOUD Act (kurz für Clarifying Lawful Overseas Use of Data Act) regelt den Umgang mit Daten von US-Bürgern und -Unternehmen, die sich physisch außerhalb der USA befinden: Dem Gesetz zufolge sind in Zeiten von ‘America First’ diese Daten so zu behandeln, als befänden sie sich auf Servern in den Vereinigten Staaten. Auf diese Weise eröffnet der CLOUD Act den US-Behörden Zugriff auf alle Arten...
Schnell, sicher und State-of-the-Art – nutzen Sie unsere starke Plattform für Ihre Kunden
