Das Europäische Parlament wendet sich mit einem Entschließungsantrag an die EU-Kommission um den EU US-Privacy Shield überprüfen zu lassen.
Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Datentransfers aus der EU in die USA kritisch betrachtet. Mit Wirkung der DSGVO seit dem 25. Mai 2018 hat sich die Aufmerksamkeit für dieses Thema nochmals erhöht. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheitsbeschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssichere Rechtsgrundlage. Unternehmen sollten sich daher mit anderen Rechtsgrundlagen für den Datentransfer in die USA beschäftigen.
Was sind Angemessenheitsbeschlüsse der EU- Kommission?
Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern.
Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art.45 Abs.3 DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird. In einem solchen Fall kann die Kommission bestätigen, dass das Datenschutzniveau im Drittland „angemessen“ ist, weshalb die Übermittlung von personenbezogenen Daten an Unternehmen oder Mitglieder der eigenen Unternehmensgruppe in diesem Drittland nicht gegen die DSGVO verstößt. Beispiel für ein entsprechendes Vorgehen ist der Angemessenheitsbeschluss der EU-Kommission in Bezug auf das EU-US Privacy Shieldsoweit selbstzertifizierte Organisationen betroffen sind, die sich dem Schutzmechanismus angeschlossen haben. Der Angemessenheitsbeschluss der EU-Kommission setzt aber nicht zwingend ein Übereinkommen mit einem Drittland voraus. Gemäß Art. 45 DSGVO kann die Kommission einen solchen Beschluss auch dann fassen, wenn sie allgemein zu der Auffassung gelangt, dass ein angemessenes Schutzniveau im Drittland besteht. Berücksichtigt werden dabei unter anderem die Menschenrechtssituation, Grundfreiheiten, Datenschutzvorschriften, Struktur der Aufsichtsbehörden und internationalen Verpflichtungen des Drittlandes.
Was ist der EU-US Privacy Shield?
Als Angemessenheitsbeschluss ermöglicht der EU-US Privacy Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU Privacy Shield als Unternehmen mit hohem Datenschutzniveau gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen. Gleiches gilt für Datentransfers innerhalb einer Unternehmensgruppe, wenn ein Tochterunternehmen in den USA niedergelassen ist.
Der Privacy Shield stellt die Nachfolge des Save-Harbour-Abkommens dar, das der EuGH 2015 für unwirksam erklärt hatte. Weder Privacy Shield noch Safe-Harbour-Abkommen stellen rechtsverbindliche Abkommen dar. Dennoch bietet der Privacy Shield einen Rechtsrahmen, der die dort gelisteten Unternehmen und den insoweit mit den USA stattfindenden Datenaustausch als rechtssicher einordnet und damit auch aus Sicht der DSGVO legitimiert.
Weshalb ist der EU-US Privacy Shield in Gefahr?
Ausgangspunkt der Infragestellung des EU-US Privacy Shields war der Regierungswechsel in den USA und die Präsidentschaft von US-Präsident Donald Trump.
Grundlage für den EU-US Privacy Shield waren einige inneramerikanische Rechts- und Gesetzänderungen im Jahr 2016. Insbesondere konnten sich (bestimmte, u.a. deutsche) EU-Bürger auf US-Rechte nach dem amerikanischen „Privacy Act“ direkt vor US-Justizbehörden wenden. Diese Rechts- und Gesetzesänderungen scheinen durch eine „Executive Order“ von US-Präsident Trump vom 25. Januar 2017 gefährdet, nach der „auf der Grundlage des geltenden Rechts“ [u.a.] der Schutz aus dem Privacy Act Nichtstaatsangehörigen der USA nicht mehr zugutekommen soll. Bisher ist nicht eindeutig geklärt, ob EU-Bürger damit gerade aus dem Schutz des US-Privacy-Act herausfallen oder gerade weiterhin davon profitieren, weil ihre Einbeziehung in den Privacy-Act gerade „geltendem Recht“ entspricht.
Für Unternehmen gilt es abzuwarten, welche Auslegung des US-Privacy Act sich etabliert. Grundsätzlich besteht nach wie vor ein wirksamer Angemessenheitsbeschluss der Kommission bezüglich des EU-US Privacy Shield, allerdings war die Anordnung des US-Präsidenten Ausgangspunkt für viele Debatten zu dessen Effektivität.
Die Artikel-29-Datenschutzgruppe, deren Stellungnahmen gewichtige Bedeutung bei der Auslegung der DSGVO zukommt, erklärte in ihrer Stellungnahme „EU-US-Privacy Shield- First annual Joint Review“ vom 28. November 2017, dass trotz des Privacy Shield in vielen Punkten Zweifel an einem mit der EU vergleichbaren Datenschutzniveau bezüglich der Daten von EU-Bürgern in den USA bestünden.
Insbesondere die fehlende Überprüfung der Einhaltung eines mit der EU vergleichbaren hohen Datenschutzniveaus durch unabhängige Aufsichtsbehörden in den USA wird bemängelt. Zudem bestehen Unterschiede in der Auslegung zentraler Begriffe des Privacy Shield wie etwa „HR Data“ zwischen US- und EU-Behörden. Auch die Regelung für automatische Entscheidungsfindung/Profiling sei nicht ausreichend und spezifisch genug getroffen worden, um den besonderen Gefahren der automatischen Entscheidungsfindung zu begegnen. Außerdem kritisiert die Datenschutzgruppe, dass es keine Überprüfungsmöglichkeit für unter Umständen trotz Privacy Shield erfolgende, unrechtmäßige Datensammlungen durch US-Behörden von Daten von EU-Bürgern gibt. Dazu passt, dass US-Finanz- und Strafverfolgungsbehörden aktuell Ausnahmen vom EU-Datenschutzrecht begehren. Zudem fehle es an einer unabhängigen und effektiven Funktion einer Ombudsperson speziell für Beschwerden von EU-Bürgern in den USA.
Unter anderem wegen dieser Kritikpunkte forderte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlamentes der Europäischen Union (LIBE) die Kommission dazu auf, den EU-US Privacy Shield bis zum 01. September 2018 auszusetzen, nachzubessern und neu zu verhandeln. Im Anschluss an diese Forderung beschloss das Europäische Parlament in einem Entschließungsantrag vom 26.06.2018 der Forderung des LIBE-Ausschusses stattzugeben. Die Kommission wurde in diesem Antrag dazu aufgefordert den Privacy Shield auszusetzen, wenn bis zum 01. September kein mit der EU vergleichbares Datenschutzniveau in den bzw. durch die USA erkennbar sei. Die entscheidenden Passagen des Antrages des EU-Parlamentes lauten:
- 31. fordert die Kommission auf, sämtliche Maßnahmen zu ergreifen, die erforderlich sind, damit der Datenschutzschild uneingeschränkt im Einklang mit der ab dem 25. Mai 2018 geltenden Verordnung (EU) 2016/679 und der EU-Grundrechtecharta steht, sodass das Kriterium der Angemessenheit nicht zu Schlupflöchern oder Wettbewerbsvorteilen für US-Unternehmen führt;
- 32. bedauert, dass die Kommission und die zuständigen US-Behörden die Gespräche über die Datenschutzschild-Regelung nicht wieder aufgenommen und keinen Aktionsplan aufgestellt haben, um die festgestellten Mängel so schnell wie möglich zu beheben, wie die Artikel-29-Datenschutzgruppe in ihrem Bericht vom Dezember über die gemeinsame Überprüfung gefordert hat; fordert die Kommission und die zuständigen US-Behörden auf, dies unverzüglich zu tun;
- 33. weist erneut darauf hin, dass der Schutz der Privatsphäre und der Datenschutz rechtlich durchsetzbare Grundrechte sind, die in den Verträgen, der Charta der Grundrechte und der Europäischen Menschenrechtskonvention sowie in Gesetzen und in der Rechtsprechung verankert sind; betont, dass sie so angewandt werden müssen, dass der Handel und die internationalen Beziehungen nicht unnötig behindert werden, aber nicht gegen wirtschaftliche oder politische Interessen „abgewogen“ werden dürfen;
- 34. vertritt die Auffassung, dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäß der Auslegung durch den Europäischen Gerichtshof erforderlich ist;
- 35. ist der Ansicht, dass die Kommission nicht gemäß Artikel 45 Absatz 5 der Datenschutz-Grundverordnung tätig geworden ist, es sei denn, die USA erfüllen die Anforderungen bis zum 1. September 2018 vollständig; fordert die Kommission daher auf, den Datenschutzschild auszusetzen, bis die US-Behörden seine Bestimmungen einhalten;
Angesichts der oben genannten Anordnung von US-Präsident Donald Trump kann als unwahrscheinlich eingeordnet werden, dass die USA bis zum 1. September ein ausreichend hohes Datenschutzniveau gewährleisten werden. Sollte die Kommission dem Antrag des EU-Parlamentes stattgeben, stünde der Privacy Shield damit vor dem Aus.
Insgesamt können Datentransfers aktuell noch auf den Privacy Shield gestützt werden, allerdings kann dieser durch Beschlüsse der Kommission oder Urteile des EuGHs in naher Zukunft vor dem Aus stehen. Unternehmen sollten daher Datentransfers in die USA auf eine andere Grundlage stellen.
Weshalb handelt das EU-Parlament erst jetzt?
Als Stein das Anstoßes kann der Datenskandal um Facebook und die Analysefirma Cambridge Analytica gewertet werden. Beide Unternehmen hatten sich auf den Privacy Shield berufen um personenbezogene Daten aus der EU zu verarbeiten. Demgemäß verlangte das EU-Parlament, dass solche und weitere Unternehmen, die den Privacy Shield für nicht genehmigte Datenverarbeitungen missbrauchten, aus dem Schutz des Shields auszunehmen sind. Die Forderung richtete sich gleichermaßen an US- wie EU-Behörden.
Zudem weisen die Parlamentarier darauf hin, dass auf der Grundlage des im März 2018 in den USA verabschiedeten Cloud-Acts amerikanische Sicherheitsbehörden die Möglichkeit hätten auf Daten von US-Unternehmen auch dann zuzugreifen, wenn diese außerhalb der EU gespeichert worden seien. Daran kann ein Versuch des Unterlaufens des Privacy-Acts gesehen werden. Verhandlungen über Befugnisse von Sicherheitsbehörden bezüglich Daten innerhalb Europas, scheitern bisher am amerikanischen Widerstand.
Welche Befürchtungen hat die deutsche Wirtschaft?
Der Bundesverband der Deutschen Industrie warnt vor einem Aussetzen des Privacy Shields. Er verweist auf einen unpassenden Zeitpunkt des Antrages des EU-Parlamentes, da dieser zu großer Rechtsunsicherheit bei deutschen Unternehmen führe.
Welche Alternativen gibt es zum EU-US Privacy Shield für Datenübertragungen von der EU in die USA?
Den Sorgen der deutschen Wirtschaft kann durch Alternativen zum Privacy Shield für einen rechtssicheren Datentransfer in die USA begegnet werden. Alternativen zum EU-US Privacy Shield bestehen gemäß Artikel 46 DSGVO reichlich. Innerhalb der eigenen Unternehmensgruppe bieten sich vor allem Binding Corporate Rules als Lösung für den Datentransfer in die USA an. Außerhalb der eigenen Unternehmensgruppe kommen vor allem Standardvertragsklauseln in Betracht. Außerdem bieten sich genehmigte Verhaltensregeln (Code of Conducts) und ISO-zertifizierte Genehmigungen als Lösung an.
Fazit und Ausblick
Die mediale Aufmerksamkeit, die dem Datenskandal um Facebook und Cambridge Analytica zuteilwurde belegt, dass Datentransfers in die USA aktuell ein besonders sensibles Thema darstellen. Der Antrag des EU-Parlamentes kann daher als Fingerzeig für den Anfang vom Ende des EU-US Privacy Shield verstanden werden. Unternehmen, deren Datenempfänger innerhalb dieses Beschlusses gelistet sind, können diesen zwar weiter als Grundlage für Datentransfers in die USA nutzen, sollten allerdings rechtzeitig eine alternative Rechtsgrundlage in Betracht ziehen. Ohne den Privacy Shield gelten die USA als „nicht sicheres Drittland“, sodass Datentransfers ohne Rechtsgrundlage einen Verstoß gegen die DSGVO bedeuten und mit hohen Bußgeldern belegt werden.