EU-US Privacy Shield: Wenige Tage nach der "politischen Einigung" über ein Nachfolgekonstrukt des unwirksamen "Safe Harbor" mehren sich die Fragezeichen.
Für EU-Unternehmen, die personenbezogene Daten in die USA übermitteln, könnte sich die Hängepartie der rechtlichen Unsicherheit noch einige Zeit fortsetzen. Wohl erst im März wird feststehen, wie die europäischen Aufsichtsbehörden und das Europäische Parlament den neuen Datenschutzschild bewerten.
Bisher scheint das neue Konzept so wackelig wie der Häuptlingsschild aus dem Dorf von Asterix: Häuptling Majestix bewegt sich bekanntermaßen auf einem Schild durch das unbeugsame gallische Dorf – indes: Seine zwei namenlosen Schildträger zeichnen sich durch lediglich begrenzte Verlässlichkeit aus, und in mehr oder weniger regelmäßigen Abständen haut es den Anführer von seinem sicher geglaubten Fundament auf den Boden der Tatsachen.
Ähnlich unsicher scheint das in der vergangenen Woche aus der Taufe gehobene Konstrukt zur Gewährleistung eines angemessenen Datenschutzniveaus bei Datenübermittlungen in die USA.
Der Privacy Shield ist inhaltlich (noch) nicht ausgearbeitet
Das liegt zum einen daran, dass EU-Justizkommissarin Vera Jourova am vergangenen Dienstag nicht viel mehr als ein grundsätzliches Verständnis zwischen der EU-Kommission und ihren Verhandlungspartnern vom US-Handelsministerium (die erwähnte „politische Einigung″) verkünden konnte. Was der neue Datenschutzschild konkret bedeutet, ist hingegen nach wie vor offen – die entsprechenden Dokumente sollten erst in der zweiten Februarhälfte vorgelegt werden.
Zum anderen ist trotz der dem Vernehmen nach intensiven Verhandlungen fraglich, ob das neue Konstrukt den vom Europäischen Gerichtshof formulierten Kriterien genügt. Der EuGH hatte das bisherige Safe Harbor-Konzept der EU-Kommission im Oktober 2015 für unwirksam erklärt.
Die Verhandlungen über eine Nachfolgeregelung für Safe Harbor hatten eine gewisse Dringlichkeit bekommen, als die europäischen Aufsichtsbehörden für den Datenschutz der EU-Kommission eine Frist bis Ende Januar 2016 gesetzt hatten, um mit den USA eine neue Regelung zu vereinbaren. Zugleich hatten die Aufsichtsbehörden angekündigt, auch die Alternativen zu Safe Harbor (die sog. EU-Standardvertragsklauseln und verbindliche Unternehmensregeln, „Binding Corporate Rules“) auf den Prüfstand zu stellen.
Die nun verkündete „politische Einigung″ diente vor allem dazu, die von den Aufsichtsbehörden gesetzte Frist einzuhalten.
Bislang nur Eckpunkte des EU-US Privacy Shields bekannt…
Die EU-Kommission hat bis dato nur einige Eckpunkte zum neuen Datenschutzschild mitgeteilt:
- Das Grundprinzip des bisherigen Safe Harbor-Konzeptes soll auch im neuen Privacy Shield beibehalten werden: Empfänger personenbezogener Daten in den USA können weiterhin im Rahmen einer Selbstzertifizierung bestätigen, dass sie die personenbezogenen Daten von Stellen in der EU unter Beachtung bestimmter Datenschutzprinzipien verarbeiten und nutzen. Ob es sich hierbei um die sieben bislang bekannten „Safe Harbor Principles″ handeln wird, ist noch offen. Die Einhaltung der neuen Datenschutzprinzipien soll der Aufsicht durch die Federal Trade Commission unterliegen; bei Beschäftigtendaten besteht zudem eine Zuständigkeit der europäischen Aufsichtsbehörden.
- Die US-Seite soll zudem schriftlich versichert haben, dass in Zukunft der Zugriff von US-Geheimdiensten auf aus der EU übermittelte personenbezogene Daten beschränkt ist. Dieser Punkt war eine der wesentlichen Erwägungen für die Entscheidung des EuGH: Unter Bezugnahme auf die Enthüllungen von Edward Snowden zum Umfang der Tätigkeit von US-Diensten hatte der EuGH festgestellt, dass die anlasslose Überwachung jeglicher elektronischer Kommunikation mit den Wertungen des europäischen Rechts nicht zu vereinbaren sei. Auch Safe Harbor-zertifizierte Unternehmen hätten im Zweifel entsprechenden Anforderungen von US-Behörden Folge leisten müssen. Die Einhaltung der neuen Zusicherung eines beschränkten Zugriffs soll jährlich unter Einbeziehung der europäischen Datenschutzbehörden geprüft werden. Insbesondere dieser Punkt wird für die noch ausstehende Bewertung des neuen Datenschutzschildes durch die Aufsichtsbehörden und das EU-Parlament entscheidend sein.
- Auch in einem weiteren Punkt soll der Datenschutzschild EU-Bürgern einen verbesserten Schutz bieten: Denn diese sollen sich in Zukunft bei möglichen Datenzugriffen durch US-Behörden an einen „Ombudsmann″ wenden können. Über den sogenannten „Judicial Redress Act″ sollen auch EU-Bürger zudem die Möglichkeiten haben, vor US-Gerichten Rechtsschutz gegen Maßnahmen von US-Behörden zu erlangen.
…aber schon kommt heftige Kritik
Bereits unmittelbar nach der Mitteilung über die „politische Einigung″ wurde heftige Kritik am neuen Datenschutzschild geäußert.
Der Europaabgeordnete Jan Philipp Albrecht, Berichterstatter für die neue EU-Datenschutz-Grundverordnung bezeichnete das Konstrukt als Witz und meldete erheblichen Nachbesserungsbedarf an. Heribert Prantl sah in der SZ „superlasche Regeln durch lasche Regeln″ ersetzt, und auch Peter Schaar, ehemaliger Bundesbeauftragter für den Datenschutz meint, dass noch längst nicht alle entscheidenden Fragen geklärt seien.
Auch die europäischen Aufsichtsbehörden reagierten verhalten euphorisch: Zwar begrüßten sie die politische Einigung, nahmen dies aber gleichzeitig zum Anlass für eine neue Fristsetzung – bis Ende Februar 2016 solle die EU-Kommission sämtliche Dokumente zu der neuen Vereinbarung vorlegen. Danach werde die sog. Artikel 29-Arbeitsgruppe der Aufsichtsbehörden alle zur Verfügung stehenden Instrumente für US-Datenübermittlungen abschließend prüfen – neben dem neuen Privacy Shield auch die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln.
Für Unternehmen in der EU dauert die Hängepartie der rechtlichen Unsicherheit damit weiter an – immerhin: Bis zum Abschluss der Prüfung durch die Aufsichtsbehörden können bestehende Instrumente – mit Ausnahme der unwirksamen Safe Harbor-Zertifizierungen bei US-Empfängern – weiter genutzt werden.
Wie geht es mit dem Privacy Shield weiter?
Die EU-Kommission hat bereits angekündigt, in der zweiten Februarhälfte Details zum Datenschutzschild zu enthüllen. Dies und das Ergebnis der Prüfung durch die Aufsichtsbehörden dürfte nicht nur die europäischen Niederlassungen von US-Konzernen interessieren.
Anders als vielfach angenommen, können auch klassische Mittelständler von den Regelungen für internationale Datentransfers betroffen sein, wenn sie Dienstleistungen von Anbietern in den USA nutzen – etwa Datenspeicher in der Cloud oder virtuelle („Software as a Service″) Anwendungen, bei denen Kunden- oder Beschäftigtendaten auf Servern in den USA gespeichert werden.
Relevant wird dabei auch, ob sich die europäischen Aufsichtsbehörden tatsächlich auf eine einheitliche Position verständigen oder ob einzelne Behörden – insbesondere bei Beschwerdefällen – nationale Sonderwege beschreiten werden. Dies ist nicht zuletzt für Deutschland relevant, wo – anders in vielen anderen EU-Mitgliedstaaten – nicht eine zentrale Stelle, sondern neben der Bundesbeauftragten für den Datenschutz im Wesentlichen Behörden in den Ländern die Aufsicht über die Datenverarbeitung in der Privatwirtschaft führen.
Einige angebliche Hintergrundinformationen nähren indes Zweifel, ob eine Einigung zwischen EU-Kommission und US-Behörden tatsächlich ohne Preisgabe wesentlicher Verhandlungspositionen möglich war bzw. ist. Letztlich könnte auch der Privacy Shield am Ende wieder vor dem EuGH landen.
Ein Logo hat er aber schon jetzt.