Hintergrund
Als der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 das seit 2000 geltende Safe-Harbor-Abkommen zwischen der EU und den USA für unwirksam erklärte („Schrems-Entscheidung“), war der Aufschrei groß. Die Zukunft des Transfers personenbezogener Daten in die USA erschien fraglich; mehr als 4000 Unternehmen waren betroffen. Zwar standen und stehen grundsätzlich auch andere Instrumente zur Verfügung, um das erforderliche angemessene Datenschutzniveau für den Transfer personenbezogener Daten in ein datenschutzrechtlich unsicheres Drittland zu gewährleisten; zum Beispiel die EU-Standardvertragsklauseln sowie verbindliche Unternehmensregelungen („Binding Corporate Rules“). Allerdings machten einzelne deutsche Aufsichtsbehörden recht schnell deutlich, dass sie diese Instrumente im Fall des Datentransfers in die USA für untauglich hielten. Auch der Düsseldorfer Kreis, das Gremium der Datenschutzbeauftragten des Bundes und der Länder, bezweifelte in seiner Stellungnahme vom 21. Oktober 2015 die Zulässigkeit von Datentransfers in die USA auf der Grundlage von Standardvertragsklauseln oder verbindliche Unternehmensregelungen. Die Artikel-29-Gruppe, das Gremium der europäischen Datenschutzbeauftragten, setzte der EU-Kommission eine Frist bis Ende Januar 2016, um eine Nachfolgeregelung für das Safe-Harbor Abkommen zu entwickeln.
Privacy Shield
Entgegen vieler Erwartungen einigte sich die EU-Kommission mit den USA am 2. Februar 2016 auf einen Entwurf zu einem EU-US Privacy Shield als Nachfolgeabkommen des Safe-Harbor-Abkommens. Die neue Regelung umfasst nach Verlautbarung der EU-Kommission folgende Elemente:
- Strenge Auflagen für Unternehmen, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten, sowie konsequente Durchsetzung. Firmen, die personenbezogene Daten aus Europa verarbeiten, sollen durch das US-Handelsministerium überwacht werden.
- Schutzvorkehrungen und Transparenzpflichten bei Zugriff durch US-Regierung; die US-Seite habe auch eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zugesagt.
- Schutz der Rechte der EU-Bürgerinnen und -Bürger durch verschiedene Rechtsbehelfe. So könne sich, wer seine Datenschutz-Rechte im Namen der nationalen Sicherheit der USA verletzt sähe, an einen von US-Geheimdiensten unabhängigen Ombudsmann wenden.
Die deutsche Wirtschaft, so beispielsweise der Digitalverband Bitkom, begrüßte die Einigung weitgehend. Demgegenüber stehen eine große Anzahl von Kritikern und Skeptikern. Zu Recht! Skepsis ist alleine deswegen angebracht, weil bislang kein verbindliches, schriftliches Dokument vorliegt, das die vorstehenden Grundsätze sowie weitere Details verbindlich regelt. Im Hinblick auf die Überwachung der Auflagen durch das US-Handelsministerium muss man fragen, warum dieser Überwachungsmechanismus nun plötzlich funktionieren soll, wenn er zuvor jahrelang offensichtlich nicht funktioniert hat. Bereits zu Zeiten des Safe-Harbor-Abkommens hatte der Düsseldorfer Kreis die mangelnde Kontrolle der Anforderungen durch US-amerikanische Stellen moniert. Ob ein von US-Geheimdiensten unabhängiger Ombudsmann tatsächlich geeignet ist, den vom EuGH geforderten Grundrechtsschutz sicherzustellen, darf ebenfalls bezweifelt werden. Es ist zu befürchten, dass es sich hierbei um einen zahnlosen Tiger handelt. Nach der Unterzeichnung des „Judicial Redress Act“ durch US-Präsident Barack Obama sollen EU-Bürger gegen Datenschutzverletzungen nunmehr zwar auch den US-Gerichtsweg beschreiten können. Allerdings wird dieser Anspruch durch zahlreiche Hürden und Ausnahmen relativiert.
Insoweit darf es nicht verwundern, dass sich die Artikel 29-Gruppe eine ausführliche Prüfung und Analyse des Privacy Shield vorbehalten hat. Insbesondere wird das Gremium der europäischen Datenschutzbeauftragten prüfen müssen, ob die Anforderungen aus der Schrems-Entscheidung des EuGH erfüllt sind. Mit einer entsprechenden Stellungnahme der Artikel 29-Gruppe wird nicht vor Ende April 2016 zu rechnen sein. „Bis dahin können Datentransfers in die USA auf Basis von EU-Standardvertragsklauseln und verbindlichen Unternehmensregelungen vorgenommen werden”, stellte die Artikel 29-Gruppe klar.
Es bleibt weiterhin interessant im Spannungsfeld des europäischen und US-amerikanischen Datenschutzes.