Die Rolle des EU-US Privacy Shield bei der Übermittlung von Personaldaten in die USA sowie praktikable Varianten dazu zeigt dieser Beitrag auf.
Seit 25. Mai 2018 gilt für alle Unternehmen auf dem europäischen Markt die EU-Datenschutzgrundverordnung (DSGVO). Neben diversen Verschärfungen, auf die sich Unternehmen einstellen mussten, blieben einige Grundprinzipien erhalten: Für die Übermittlung personenbezogener Daten in Länder außerhalb der EU (sog. Drittländer) sind zusätzliche Anforderungen zu erfüllen (Art. 44 ff. DSGVO).
Vielfältige Szenarien mit Datenübermittlung in die USA denkbar
Die Gelegenheiten, bei denen Unternehmen personenbezogene Daten in die USA übermitteln, sind zahlreich: Offensichtlich ist das bei einer zentralisierten Verwaltung von Personaldaten im US-amerikanischen Mutterunternehmen eines internationalen Konzerns oder beim Einsatz US-amerikanischer Dienstleister für die Personalverwaltung. Eine Datenübermittlung kann aber auch „im Hintergrund″ erfolgen, etwa, wenn ein Unternehmen für Kundendaten eine Cloud nutzt und die Server des Anbieters in den USA stehen.
Die zusätzlichen Anforderungen bei der Übermittlung in Drittländer gelten aber auch, wenn personenbezogene Daten von dort aus nur zugänglich sind („Offenlegung durch Übermittlung„, vgl. Art. 3 Nr. 2 DSGVO). Wer personenbezogene Daten in ein Datennetz einstellt, auf das man in den USA zugreifen kann, „übermittelt″ Daten dorthin.
Keine Datenübermittlung in Drittländer ohne Ermächtigungsgrundlage
Nach Art. 44 DSGVO benötigt jede Übermittlung personenbezogener Daten in ein Drittland (oder an eine internationale Organisation) eine zusätzliche Ermächtigungsgrundlage.
Notwendig ist eine zweistufige Prüfung: Die Rechtfertigung der Datenverarbeitung (z.B. gem. § 26 Abs. 1 BDSG) allein genügt nicht; die gesetzlichen Voraussetzungen einer Übermittlung in ein Drittland müssen zusätzlich vorliegen. Ob die Datenverarbeitung zulässig ist, erlaubt also keine Rückschlüsse, ob eine Datenübermittlung in ein Drittland nach DSGVO zulässig ist.
Als Ermächtigungsgrundlagen für die Übermittlung kommen primär Angemessenheitsbeschlüsse, sonstige Garantien und eine Einwilligung der betroffenen Personen in Betracht.
Angemessenheitsbeschluss, Art. 45 DSGVO
Weitgehend unproblematisch ist eine Datenübermittlung in ein Drittland, für das die EU-Kommission ein angemessenes Schutzniveau bestätigt.
Nach der Vorgängerregelung zu Art. 44 DSGVO, Art. 25 Abs. 6 RL 95/46/EG, kann die EU-Kommission per Beschluss ein angemessenes Schutzniveau etwa wegen internationaler Verpflichtungen in einem Drittland feststellen. Vor dem 25. Mai 2018 ergangene Angemessenheitsbeschlüsse der EU-Kommission gelten unter der DSGVO fort (Art. 46 Abs. 5 S. 2 DSGVO).
Derzeit gibt es Angemessenheitsbeschlüsse etwa zu Ländern wie Kanada, Neuseeland, Argentinien und der Schweiz, die damit „datenschutzrechtlich sichere Drittstaaten″ sind. Keinen entsprechenden, generellen Beschluss hat die EU-Kommission für die USA getroffen. Vielmehr hat die EU-Kommission eine Datenübermittlung in die USA an bestimmte Bedingungen geknüpft. Eine Datenübermittlung in Drittländer mit Angemessenheitsbeschluss ist damit zulässig.
Geeignete Garantien, Art. 46 DSGVO
Falls die EU-Kommission keinen Beschluss getroffen hat, dürfen Verantwortliche oder Auftragsverarbeiter personenbezogene Daten nur in ein Drittland übermitteln, sofern dafür geeignete Garantien des Datenschutzes vorgesehen sind und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 DSGVO).
Geeignete Garantien können etwa in EU-Standardvertragsklauseln oder in verbindlichen internen Datenschutzvorschriften (Art. 47 DSGVO) bestehen.
Einwilligung der betroffenen Person(en)
Grundsätzlich möglich bleibt, dass Unternehmen Einwilligungen der Personen einholen, deren Daten sie in ein Drittland übermitteln (Art. 49 Abs. 1 S. 1 lit. a DSGVO). Die Einwilligung muss eine Person freiwillig, für einen bestimmten Fall und informiert abgeben. Die Wirksamkeit einer Einwilligung muss das Unternehmen nachweisen können (Art. 7 Nr. 1 DSGVO).
Für Deutschland erlaubt das BDSG Einwilligungen als Rechtfertigungsgrund auch im Arbeitsverhältnis. Allerdings muss der Verantwortliche gem. § 26 Abs. 2 BDSG stets im Einzelfall prüften, ob die Einwilligung freiwillig ist. Es sind
insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
In ihrem Kurzpapier Nr. 14 zum Beschäftigtendatenschutz vom 12. Januar 2018 vertreten die Datenschutzbehörden des Bundes und der Länder (sog. Datenschutzkonferenz) die Auffassung, wegen der ungleichen Machtverhältnisse im Arbeitsverhältnis seien an eine freiwillige Einwilligung hohe Anforderungen zu stellen.
Zudem sieht § 26 Abs. 2 BDSG seit 25. Mai 2018 vor, dass Beschäftigte Einwilligungen schriftlich abgeben. Ein Unternehmen muss einwilligende Beschäftigte über den Zweck der Datenverarbeitung und ihr jederzeitiges Widerrufsrecht in Textform (z.B. per E-Mail) aufklären.
Für Datenübermittlungen in Drittländer sind Einwilligungen weder rechtssichere noch praktikable Lösungen: Erstens gelten Einwilligungen von Beschäftigten – insbesondere nach Ansicht der Aufsichtsbehörden – nur in besonderen Fällen als freiwillig. Zweitens sind Einwilligungen jederzeit mit zukünftiger Wirkung frei widerruflich, was im Regelfall ohnehin eine gesonderten Ermächtigungsgrundlage für die Übermittlung erfordert. Und drittens verursachen Einwilligungen einen erheblichen bürokratischen Aufwand.
Warum verhandelte die EU-Kommission den Privacy Shield?
Vorgänger des Privacy Shield war die sog. Safe Harbour-Entscheidung der EU-Kommission vom 26. Juli .2000. Danach war ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten in die USA erreicht, wenn beteiligte US-Unternehmen „Grundsätze des sicheren Hafens zum Datenschutz″ des US-Handelsministeriums als für sich verbindlich erklärten. Mehr als 3.200 US-Unternehmen nutzten diese Selbstzertifizierung. Mit Urteil vom 6. Oktober 2015 (Rs. C-362/14, Schrems/Digital Rights Ireland) erklärte der EuGH die Safe-Harbour-Entscheidung für ungültig: Die Entscheidung habe u.a. den Erfordernissen der US-nationalen Sicherheit Vorrang vor den Grundsätzen des Safe Harbour eingeräumt.
US-Behörden konnten auch von selbstzertifizierten Unternehmen personenbezogene Daten ohne Einschränkung herausverlangen. Einen generellen und gerichtlich nicht prüfbaren Zugriff der US-Geheimdienste auf alle Kommunikationsvorgänge hielt der EuGH für unvereinbar mit dem EU-Grundrecht auf Achtung der Privatsphäre.
Im Nachgang zum Urteil des EuGH verhandelte die EU-Kommission den Privacy Shield als Nachfolger.
Privacy Shield als Nachfolger von Safe Harbour
Der Privacy Shield enthält einen erneuten Beschluss der EU-Kommission, Anschreiben von US-Behörden und einen Katalog von Grundsätzen zum Datenschutz.
Der Beschluss der EU-Kommission erklärt die Datenübermittlung in die USA unter Bedingungen für zulässig (Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016). Eine dieser Bedingungen ist eine Selbstzertifizierung des beteiligten US-Unternehmens, die bereits die Safe Harbour-Entscheidung vorsah: US-Unternehmen, an die personenbezogene Daten übermittelt werden, verpflichten sich, Datenschutzgrundsätze einzuhalten. Eine Anlage zum Beschluss enthält die detaillierten Grundsätze. Die Zertifizierung ist jährlich zu erneuern. Selbstzertifizierte Unternehmen veröffentlicht das US-Handelsministerium. Es kündigt eine kontinuierliche Prüfung an, ob zertifizierte Unternehmen die Datenschutzregeln einhalten.
Die Anlage des Privacy Shield enthält Anschreiben, in denen US-Behörden schriftliche Garantien für eine „zurückhaltende Datenverarbeitung″ geben. Ungeachtet der Garantien bedingen sich US-Behörden jedoch weiterhin Vorbehalte aus, um Daten zu Zwecken der nationalen Sicherheit zu erheben.
Parallel zur Kontrolle der Unternehmen durch das US-Handelsministerium behält sich die EU-Kommission die ständige Kontrolle darüber vor, ob die Feststellungen zur Angemessenheit des Schutzniveaus in den USA zutreffen. Ein Bericht über den Schutzstandard des Privacy Shield ist mindestens jährlich vorgesehen (Einl. Rn. 145, Art. 4 Abs. 4 Beschl. 2016/1250).
Als Neuerung gegenüber der Safe Harbour-Entscheidung achtete die EU-Kommission darauf, Rechtsschutz für EU-Bürger vorzusehen: Selbstzertifizierte US-Unternehmen müssen für Beschwerden betroffener EU-Bürger effektive Rechtsschutzmechanismen bieten, insbesondere eine unabhängige, kostenfreie Beschwerdestelle.
Im US-Außenministerium ist ein Ombudsmann vorgesehen, um Beschwerden von EU-Bürgern gegen Datenzugriffe aus dem Bereich der nationalen Sicherheit entgegenzunehmen. Für Beschwerden von Beschäftigten in der EU soll der jeweilige Datenschutzbeauftragte oder die zuständige Behörde im Beschäftigungsland (in der EU) zuständig bleiben. US-Unternehmen müssen sich daher verpflichten, bei Untersuchungen der zuständigen Behörde (in der EU) mitzuwirken und deren Empfehlungen zu befolgen. Beschäftigte können ihre Beschwerden damit nicht nur an das US-Unternehmen selbst oder die gewählte Beschwerdestelle richten, sondern auch an die Datenschutzbehörde ihres Beschäftigungslandes in der EU.
Kritik zum Privacy Shield: Keine Sicherheiten
Ab Veröffentlichung der ersten Entwürfe war der Privacy Shield mitunter heftiger Kritik ausgesetzt. Den Datenzugriff durch US-Sicherheitsbehörden bemängelte etwa die sog. Artikel-29-Datenschutzgruppe, Vorläufer des Europäischen Datenschutzausschusses (Art. 68 ff. DSGVO). Die Garantien der US-Behörden zur Beschränkung anlassloser Zugriffe auf personenbezogene Daten seien zu unbestimmt.
Eskalation und getätigte Umsetzungsschritte
Am 18. Oktober 2017 stellte die EU-Kommission die Angemessenheit des Datenschutzniveaus durch den Privacy Shield erstmals im Rahmen ihrer jährlichen Kontrolle fest. Schon im Prüfbericht gab die EU-Kommission aber mehrere Hinweise, wie die US-Seite den Datenschutz verbessern solle. Dazu gehörte, dass das US-Handelsministerium die Einhaltung der Datenschutzpflichten proaktiv und regelmäßig prüfe und den Posten des Ombudsmanns für Beschwerden von EU-Bürgern nicht nur kommissarisch besetze.
Diesen Hinweisen kam die US-Seite nur zögerlich nach. Zunächst verlängerte der US-Kongress Anfang 2018 die Ermächtigungsgrundlage für die Auslandsaufklärung, unterließ im Gesetzgebungsverfahren aber, ausländischen Bürgern – etwa denen der EU – Individualschutzrechte vor Überwachungsmaßnahmen der US-Sicherheitsbehörden einzuräumen. Im Gegenzug stellte das Europäische Parlament im Juli 2018 die fehlende Umsetzung der gegebenen Hinweise zum Privacy Shield in einer Entschließung fest und folgerte, der Privacy Shield biete derzeit kein angemessenes Schutzniveau.
Sollte die US-Seite die bereits angemahnten Defizite nicht bis 1. September 2018 beheben, forderte das Parlament die EU-Kommission auf, den Angemessenheitsbeschluss zu widerrufen und ihn bis dahin auszusetzen. Die vorerst letzte Eskalationsstufe war, dass die EU-Kommissarin für Justiz, Vera Jourová, dem US-Handelsminister ein Ultimatum bis Ende Oktober 2018 setzte. Am 28. September 2018 ernannten die USA nun Manisha Singh als Ombudsperson für den Privacy Shield. Zudem bestätigte der US-Senat am 11.10.2018 drei Mitglieder für ein Gremium, das für den Datenschutz gegenüber staatlichen Stellen ist.
Den zweiten Prüfbericht der EU-Kommission erwartet man Ende November 2018. Offen ist derzeit, ob der EU-Kommission die unternommenen Schritte genügen.
Verwerfungsrecht des EuGH
Auch von anderer Seite droht dem Privacy Shield eine rigorose Kontrolle – und im äußersten Fall die Erklärung der Unwirksamkeit: Der EuGH, der mit seinem Verwerfungsrecht von Beschlüssen der EU-Kommission bereits die Safe-Harbour-Entscheidung zu Fall brachte.
Insbesondere die Artikel-29-Datenschutzgruppe schließt nicht aus, zukünftig – über nationale Gerichte – ein entsprechendes Verfahren vor dem EuGH anstrengen zu lassen: Bereits in ihrem First Annual Joint Review zum Privacy Shield vom 28. November 2017 hatte die Artikel-29-Gruppe Nachbesserungen am Privacy Shield gefordert.
Eine Möglichkeit zur Kontrolle des Privacy Shield hat den EuGH bereits als Vorabentscheidungsverfahren erreicht. Hintergrund war die Beschwerde eines EU-Bürgers beim irischen Data Protection Commissioner gegen die Übermittlung personenbezogener Daten der Facebook Ireland Ltd. an die Konzernmutter in den USA. Derselbe EU-Bürger hatte bereits das Verfahren initiiert, in dem der EuGH die Safe-Harbour-Entscheidung für ungültig erklärte.
Eine der dem EuGH nun vorgelegten Fragen betrifft ausdrücklich die Angemessenheit des Schutzniveaus durch den Privacy Shield; eine weitere, ob der Mechanismus des Ombudsmanns im Privacy Shield ausreichend effektiven Rechtsschutz vor Eingriffen staatlicher Behörden bietet. Zugriffe der US-Behörden auf personenbezogene Daten erfolgen im Zweifel aber geheim und betroffene EU-Bürger müssten erst von dem Zugriff erfahren, bevor sie sich beim Ombudsmann wehren können. Schon im Urteil über die Safe Harbour-Entscheidung hatte der EuGH betont, zu angemessenem Datenschutz gehöre auch effektiver Rechtsschutz. Ob der EuGH dem Privacy Shield daher ausreichend effektiven Rechtsschutz attestieren wird, bleibt offen.
(Praktikable) Varianten zum Privacy Shield im Rahmen der DSGVO
Falls die EU-Kommission ihren eigenen Beschluss aussetzt oder aufhebt oder der EuGH den Privacy Shield als unwirksam verwirft, müssten Unternehmen Alternativen suchen. Ansonsten wäre die Übermittlung von Personaldaten in die USA nach der DSGVO rechtswidrig.
Für die Praxis bieten sich insbesondere die EU-Standarddatenschutzklauseln an (oft auch „EU-Standardvertragsklauseln„).
EU-Standarddatenschutzklauseln,Art. 46 Abs. 2 lit. d DSGVO
EU-Standardvertragsklauseln sind Mustervertragswerke, die die EU-Kommission oder eine nationale Aufsichtsbehörde nach Genehmigung durch die Kommission erlassen. Unternehmen sichern ein angemessenes Datenschutzniveau, indem sie diese Klauseln in einen Vertrag über eine Datenübermittlung in Drittländer aufnehmen. Aktuell gibt es drei Muster, eines für die Übermittlung an Auftragsverarbeiter (Controller-Processor) und zwei für die Übermittlung an andere Verantwortliche (Processor-Processor, Variante 1 und Variante 2). Vor Geltung der DSGVO erlassene EU-Standardvertragsklauseln gelten fort (Art. 46 Abs. 5 S. 2 DSGVO).
Nachteil der Klauseln ist, dass die Anwender sie nur begrenzt auf ihre Bedürfnisse anpassen können. Das Datenschutzniveau ist nur garantiert und eine Datenübermittlung in ein Drittland auf dieser Basis nur zulässig, wenn die Anwender das Mustervertragswerk vollständig und unverändert vereinbaren. Zudem verlangen die Muster, dass die Anwender Anhänge dazu ausfüllen. Daten und Verarbeitungszwecke müssen sie dort ausreichend präzise angeben. Eine zu umfassende Beschreibung wiederum verlangt eine Anpassung der Verträge selbst bei geringfügen Änderungen der Datenübermittlung.
In der Praxis können sich Unternehmen mit diesen Nachteilen jedoch regelmäßig abfinden. Für große Unternehmensgruppen besteht der Vorteil darin, die Standarddatenschutzklauseln in eine konzernweite Rahmenvereinbarung aufzunehmen und die konzerninterne Datenverarbeitung damit regulatorisch erheblich zu vereinfachen. Der einmalige Aufwand der Erstellung einer solchen Vereinbarung zahlt sich damit schnell aus.
Verbindliche interne Datenschutzvorschriften, Art. 47 DSGVO
Datenübermittlungen in Drittländer können Unternehmen auch auf verbindliche interne Datenschutzvorschriften stützen. Solche BCR („binding corporate rules″) sind auf multinationale Unternehmen und Unternehmensgruppen ausgerichtet. Sofern eines der Unternehmen eine Niederlassung in der EU hat und sich zur Einhaltung der BCR bereiterklärt, ist ein Datentransfer innerhalb der jeweiligen Unternehmensgruppe zulässig – aber nicht an Externe.
Den Mindestinhalt von BCR regelt Art. 47 DSGVO; dazu zählt die Anwendung der allgemeinen Datenschutzgrundsätze, Gewährung durchsetzbarer Rechte für die betroffenen Personen etwa per Beschwerdeverfahren und Datenschutzschulungen für Beschäftigte mit Zugang zu personenbezogenen Daten. Die betroffenen Personen müssen sich über den Inhalt der BCR informieren können, etwa durch Erhalt einer Kopie.
BCR erfordern aber, dass die nationale Aufsichtsbehörde sie vorab genehmigt. Unternehmen sind deswegen gut beraten, Entwürfe ihrer BCR im Vorfeld eng mit der Behörde abzustimmen.
Zertifizierungen, Art. 46 Abs. 2 lit. f DSGVO
Ferner erlaubt Art. 46 Abs. 2 lit. f DSGVO, Daten an ein Drittland zu übermitteln, sofern eine genehmigte Zertifizierung vorliegt. Die Details der Zertifizierung sind bisher ungeklärt. Solange es die erwarteten Leitlinien der Aufsichtsbehörden noch nicht gibt, bieten Zertifizierungen Unternehmen keine rechtssichere Variante.
Individuelle Klauseln, Art. 46 Abs. 3 lit. a DSGVO
Des Weiteren erlaubt Art. 46 Abs. 3 DSGVO eine Datenübermittlung in Drittländer auf Basis sonstiger geeigneter Garantien. Hierfür ist wiederum eine separate Genehmigung der Aufsichtsbehörde notwendig.
Erfordert eine Übermittlung besondere Regelungen, die in EU-Standarddatenschutzklauseln fehlen, können Unternehmen sie in sog. „individuellen Datenexportverträgen″ vereinbaren. Das Schutzniveau aus den EU-Standarddatenschutzklauseln für die betroffenen Personen dürfen die Unternehmen in individuellen Datenexportverträgen aber nicht unterschreiten. Als Ausgleich für die größere Flexibilität müssen die Unternehmen den höheren organisatorischen Aufwand in Kauf nehmen, die Datenexportverträge individuell durch eine Aufsichtsbehörde genehmigen zu lassen.
EU-US Privacy Shield in Zeiten der DSGVO: Fehlende endgültige Rechtssicherheit
Auch die Nachfolgeregelung der Safe Harbour-Entscheidung bringt Unternehmen keine endgültige Rechtssicherheit, wenn sie personenbezogene Daten in die USA übermitteln. Wegen der jährlichen Kontrolle, der derzeitigen Eskalation und der anstehenden Entscheidung des EuGH müssen Unternehmen die eigenen Konzepte zur internationalen Datenübermittlung regelmäßig prüfen. Nur so können sie sich für Änderungen wappnen und rechtzeitig Alternativen umsetzen.
