Datenschutzabkommen verabschiedet

EU-US-Privacy Shield beerbt Safe Harbor

12.07.2016
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Simone Bach arbeitet als Rechtsanwältin in der Kanzlei Luther Rechtsanwaltsgesellschaft mbH in Köln. Ihre Themengebiete sind Technologie, Medien, Telekommunikation und Datenschutz.
Die Europäische Kommission hat das umstrittene EU-US-Privacy-Shield-Abkommen formell verabschiedet.

Trotz heftiger Kritik an der im Februar dieses Jahres bekannt gewordenen ersten Version einer Nachfolgeregelung für das im Oktober 2015 vom EuGH in der Sache Maximillian Schrems v. Data Protection Commissioner (C-362/14) gekippte Safe-Harbor-Abkommen wurde das sogenannte EU-US-Privacy Shield heute mit nur wenigen punktuellen Änderungen durch die Europäische Kommission formell verabschiedet. Zuvor hatten bereits am 8. Juli 2016 die EU-Mitgliedsstaaten in der sog. Art. 31 Gruppe mehrheitlich ihre Zustimmung zu der Nachfolgeregelung erteilt. Das Privacy Shield kann zukünftig - vorbehaltlich der Anerkennung durch die nationalen Aufsichtsbehörden - zur Legitimation eines Datentransfers in die USA herangezogen werden.

EuGH hatte Safe-Harbor-Abkommen gekippt

Im Herbst 2015 hatte der EuGH das sogenannte Safe-Harbor-Abkommen, auf dessen Grundlage europäische Unternehmen personenbezogene Daten in die USA übermitteln durften, für ungültig erklärt, weil es keine hinreichende Garantie für den Schutz der übermittelten Daten - unter anderem vor unerlaubten Zugriffen durch US-Behörden - gewährleistete. Insbesondere habe es an einer Kontrolle und Durchsetzung der ausgehandelten Datenschutzstandards gefehlt und betroffene Personen hätten keinerlei Möglichkeit gehabt, ihre Betroffenenrechte (Ansprüche auf Auskunft, Berichtigung und Löschung) in den USA durchzusetzen. Bereits im Februar 2016 hatte die Europäische Kommission einen ersten Entwurf einer Nachfolgeregelung für das Safe-Harbor-Abkommen veröffentlicht. Europäische Datenschützer sahen jedoch die oben genannten Kritikpunkte des EuGH hierin als nur unzureichend berücksichtigt; dementsprechend forderte auch etwa die sog. Art. 29 Gruppe umfangreiche Nachbesserungen.

Hohes Datenschutz-Niveau durch das neue Privacy Shield?

Nach Meinung der Europäischen Kommission vom 8. Juli 2016 gewährleistet das neue EU-U.S. Privacy Shield ein hohes Datenschutzniveau zugunsten betroffener Personen sowie Rechtssicherheit für datenverarbeitende Unternehmen. Das Privacy Shield unterscheide sich fundamental von der Vorgängerregelung Safe Harbor, da es datenverarbeitenden Unternehmen in den USA klare und verbindliche Vorgaben zum Umgang mit den Daten auferlege und für deren Kontrolle und Durchsetzung sorge. Zudem habe die USA erstmalig schriftlich zugesagt, dass öffentliche Stellen, einschließlich Geheimdienste, nur unter bestimmten, engen Voraussetzungen auf personenbezogene Daten europäischer Bürger zugreifen dürfen und eine willkürliche Massenüberwachung ausgeschlossen sei.

Überwachung durch US-Geheimdienste weiterhin möglich

Ob die jetzt verabschiedete Version des Privacy Shields künftig ein angemessenes Schutzniveau in den USA gewährleisten kann, darf jedoch bezweifelt werden. Denn trotz punktueller Nachbesserungen dürfte der Mehrwert des Nachfolgeabkommens eher gering sein. Zwar entsprechen die ausgehandelten Standards europäischen Anforderungen an einen ausreichenden Datenschutz. Auch ist eine stärkere Kontrolle der Einhaltung der Vorschriften und Sanktionierung von Verstößen vorgesehen. Jedoch ändert das neue Abkommen nichts an der geltenden Gesetzeslage in den USA, die Ermittlungsbehörden und Geheimdiensten umfangreiche Überwachungsbefugnisse einräumt. Zudem sieht das Privacy Shield explizit Ausnahmen für die zwingende Befolgung der neuen Datenschutzstandards vor, nämlich unter anderem soweit ein Gesetz dies erlaubt oder die Missachtung der Grundsätze aus Gründen der nationalen Sicherheit, zum Zwecke der Rechtsdurchsetzung oder aus anderen öffentlichen Interessen erforderlich ist.

Da hilft es auch wenig, wenn die USA der Europäischen Kommission schriftlich zusagen, dass eine willkürliche Massenüberwachung europäischer Bürger zukünftig nicht mehr stattfinde, denn der Begriff der "Überwachung" wird durch europäische und US-amerikanische Stellen bereits grundlegend unterschiedlich definiert: Die USA halten eine "bulk collection" von Daten für zulässig (auch wenn eine gezielte Datenerhebung in Bezug auf konkrete Einzelpersonen die Regel sein soll) und beschränken erst die eigentliche Auswertung der Daten.

Nach europäischem Datenschutzrecht unterliegen bereits die Erhebung und Speicherung der Daten dem strengen Erlaubnisvorbehalt und Zweckbindungsgrundsatz. Auf der Grundlage des Foreign Intelligence Surveillance Acts (FISA) oder des National Security Letters kann daher auch zukünftig eine umfangreiche Erhebung und Auswertung personenbezogener Daten europäischer Personen stattfinden.

Die Aufsichtsbehörden haben das letzte Wort

Zudem bleibt abzuwarten, wie die nationalen Aufsichtsbehörden auf das neue Abkommen reagieren werden. Der EuGH hatte in seinem Urteil explizit darauf hingewiesen, dass es originäre Aufgabe der Aufsichtsbehörden sei, die Einhaltung europäischen Datenschutzrechts zu überwachen und zu kontrollieren. Diese Kompetenz sei keineswegs durch eine Angemessenheitsentscheidung der Europäischen Kommission eingeschränkt. Demnach ist es also allen europäischen Aufsichtsbehörden zukünftig möglich, Datenübermittlungen in die USA auf der Grundlage des neuen EU-US-Privacy Shields zu untersagen. Darüber hinaus bleibt mit Spannung abzuwarten, wie der EuGH auf eine - wahrscheinliche - erneute Vorlage durch nationale Gerichte, die mit Klagen gegen Datenübermittlungen in die USA auf der Grundlage des EU-US-Privacy Shields befasst sind, reagieren wird. (fm)