Die Kommission hat am 12. Juli 2016 den EU-U.S. Privacy Shield beschlossen. Die Kritik bleibt - eine gerichtliche Prüfung durch den EuGH ist wahrscheinlich.
Der neue Datenschutzschild ersetzt das im Oktober 2015 für unwirksam erklärte „Safe Harbor″-Konzept als Grundlage für die Übermittlung personenbezogener Daten in die USA.
Die Kritik aus Datenschutzkreisen ist auch nach einigen Verbesserungen nicht verstummt. Stein des Anstoßes bleiben mangelnde Schutzmechanismen gegen staatliche Massenüberwachung.
Rechtlicher Rahmen: Datentransfer in unsichere Drittstaaten ermöglichen
Das europäische Datenschutzrecht gestattet die Übermittlung von personenbezogenen Daten an Empfänger außerhalb der EU und des EWR nur unter bestimmten Voraussetzungen. Hintergrund ist die Einschätzung, dass ausschließlich in den EU-Mitgliedsstaaten ein „angemessenes Datenschutzniveau″ sichergestellt ist.
„Drittstaaten″ gelten aus Sicht des EU-Datenschutzrechts grundsätzlich als „unsicher″. Die nach allgemeinen datenschutzrechtlichen Voraussetzungen zulässige Übermittlung bedarf ergänzender Maßnahmen zur Sicherung des angemessenen Datenschutzniveaus nach § 4b BDSG.
Für einige Länder hat die EU-Kommission das erforderliche Schutzniveau im Rahmen von Angemessenheitsentscheidungen positiv festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, Schweiz, Faröer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Für internationale Datentransfers innerhalb von Konzernen können verbindliche Unternehmensregeln („Binding Corporate Rules″), ansonsten vertragliche Vereinbarungen auf Grundlage der „EU Standardvertragsklauseln″ als Grundlage eines angemessenen Datenschutzniveaus dienen.
Eine Sonderregelung galt für Datenübermittlungen in die USA, wenn sich die dort ansässigen Empfänger nach dem Safe Harbor-Konzept im Rahmen einer Selbstzertifizierung zur Einhaltung des angemessenen Datenschutzniveaus verpflichtet hatten. Die entsprechende Entscheidung der Kommission aus dem Jahre 2002 hatte der Europäische Gerichtshof (EuGH) im Oktober 2015 allerdings für unwirksam erklärt.
Nachfolge für Safe Harbor: Ein Datenschutzschild
Die bereits vor der EuGH-Entscheidung gestarteten Verhandlungen über Verbesserungen bei „Safe Harbor″ wurden – nicht zuletzt auf Druck der europäischen Datenschutzbehörden – intensiviert. Im Februar präsentierte die Kommission dann den EU-U.S. Privacy Shield.
Der neue Datenschutzschild muss sich an den vom EuGH aufgestellten Leitlinien messen lassen. Nach dem EuGH muss das Schutzniveau zwar nicht identisch mit dem europäischen, jedoch in der Sache mit diesem gleichwertig sein. Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut Notwendige beschränkt sein. Anlasslose Massenüberwachungen durch Geheimdienste darf es nicht geben. Die Rechte der Betroffenen müssen durch ein effektives Rechtsschutzsystem abgesichert werden.
All dies muss auch der neue Datenschutzschild leisten, wenn er einer Überprüfung durch den EuGH standhalten soll – und genau dies wurde von Datenschützern bereits kurz nach der ersten Vorstellung des EU-U.S. Privacy Shield höchst kritisch gesehen.
Angemessenheitsbeschluss für leichtere Datenübermittlung
Nach Artikel 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass in einem Drittstaat ein dem europäischen Datenschutz entsprechendes Schutzniveau besteht. Hierfür trifft die Kommission einen so genannten Angemessenheitsbeschluss. Einen solchen Beschluss hat die Kommission nun für den EU-U.S. Privacy Shield getroffen.
Auf Grundlage dieses Beschlusses können personenbezogene Daten wieder an bestimmte Empfänger in den USA übermittelt werden. Voraussetzung für die Datenübermittlung ist – wie schon bei „Safe Harbor″ – eine Selbstzertifizierung des Datenempfängers in den USA. Die Unternehmen müssen sich den in den EU-U.S. Privacy Shield Framework Principles niedergelegten Datenschutzstandards unterwerfen. Erst dann können personenbezogene Daten an diese Unternehmen wieder leichter übertragen werden.
Wie die Zertifizierung genau ablaufen soll, ist noch nicht im Detail festgelegt. Es wird erwartet, dass hierzu noch Leitlinien durch die Kommission veröffentlicht werden.
Einhaltung des Datenschutzstandards fraglich
Formal hat die Kommission mit dem Angemessenheitsbeschluss die Grundlage für erleichterte Datenübermittlungen in die USA geschaffen. Die geäußerte Kritik ist trotz der im Beschluss enthaltenen Nachbesserungen nicht verstummt. Denn die EU-U.S. Privacy Shield Framework Principles binden zwar die selbstzertifizierten Unternehmen, schaffen aber keinen gesetzlichen Schutz gegen staatliche Überwachung.
Gewähr gegen übermäßige staatliche Überwachung sollen die dem EU-U.S. Privacy Shield als Annexe beigefügten Zusicherungen der US-Seite bieten. Beispielsweise stützt sich die Kommission auf eine Erklärung der Nachrichtendienste der USA, die Umfang und Grenzen staatlicher Überwachung beschreiben soll. Insbesondere an diesem Punkt hat sich im Vorfeld deutliche Kritik entzündet.
So wiesen die in der „Artikel-29-Gruppe″ vereinten Datenschützer den ersten Entwurf der Kommission im April als unzureichend zurück. Die Datenschützer bemängelten besonders mangelnde Schutzmechanismen gegen staatliche Massenüberwachung. Im Mai schloss sich der europäische Datenschutzbeauftragte der Kritik an. Durch die Vielzahl an Ausnahmevorschriften werde der Datenschutzschild derart ausgehöhlt, dass staatliche Überwachung weiterhin der Regelfall sein könnte.
Der nun beschlossene Text sieht zwar einige begriffliche Präzisierungen vor – so soll Überwachung stets so zielgenau wie möglich erfolgen –, weicht aber nicht substantiell vom ursprünglichen Entwurf ab. Die Kommission gibt sich damit zufrieden, dass eine Massenüberwachung („Bulk Collection″) nach den Zusicherungen der US-Behörden nur erfolgen soll, wenn eine zielgerichtete Datenerfassung nicht erfolgversprechend ist. Einen klaren Verzicht auf staatliche Massenüberwachung kann man den Erklärungen der US-Seite jedoch nicht entnehmen.
Ausblick: weiterer Rechtsstreit vor dem EuGH wahrscheinlich
Das letzte Wort zu transatlantischen Datentransfers ist sicher noch nicht gesprochen. Obwohl sich der Schutzstandard im Vergleich zu „Safe Harbor″ verbessert, bleibt er löchrig. Aktivisten haben daher bereits Klagen gegen den EU-U.S. Privacy Shield angekündigt.
Ob der Beschluss diesmal hält, erscheint fraglich. Bis zu einem Urteil des EuGH dürfte jedoch einige Zeit ins Land ziehen. Die Aufsichtsbehörden können den Beschluss in der Zwischenzeit nicht aufheben. Dieses Recht kommt – wie der EuGH nicht zuletzt in der „Safe Harbor″-Entscheidung betont – alleine dem EuGH zu.
