Datenübermittlungen in die USA – EU-Parlament fordert Aussetzen des EU-US Privacy Shields ab 01. September 2018

Michael Neuber

Das Europäische Parlament hat am 26. Juni 2018 eine Entschließung zur Angemessenheit des vom EU‑US‑Datenschutzschild (Privacy Shield) gebotenen Schutzes angenommen in welcher die EU-Kommission aufgefordert wird, gemäß Artikel 45 Abs. 5 der Datenschutzgrundverordnung (DSGVO) tätig zu werden um zu erreichen, dass die in der Entschließung (und anderen Berichten) näher aufgeführten Umsetzungsanforderungen auf Seiten der USA bis spätestens 01. September 2018 umgesetzt werden. Anderenfalls fordert das Parlament eine Aussetzung des Privacy-Shields.

Die Hintergründe für den Beschluss sind aus dem Beschlusstext ersichtlich. So sind es einerseits die Ergebnisse des ersten Revisionsberichtes der EU-Kommission vom 18. Oktober 2017, der zwar ein zunächst positives Bild zeichnet, allerdings auch konkrete Verbesserungen fordert.

So hatte die Kommission in ihrem ersten Bericht zur jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds zwar feststellt, dass die US-Behörden die erforderlichen Strukturen und Verfahren geschaffen haben, damit der Datenschutzschild ordnungsgemäß funktioniert, und kam damit zu dem Ergebnis, dass die USA weiterhin ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds übermittelt werden, gewährleisten. Allerdings wurden gleichzeitig auch zehn Empfehlungen an die US-Behörden übermittelt, mit denen erreicht werden soll, dass die Bedenken hinsichtlich der Aufgaben und Tätigkeiten des US-Handelsministeriums – als die für die Überwachung der Zertifizierung von Organisationen im Rahmen des Datenschutzschilds und die Durchsetzung der Grundsätze zuständige Stelle – sowie die Bedenken im Zusammenhang mit der nationalen Sicherheit, wie die Genehmigung der weiteren Anwendung von Abschnitt 702 des Gesetzes über die Auslandsaufklärung (Foreign Intelligence Surveillance Act, FISA), der dauerhaften Ernennung einer Ombudsperson und der Tatsache, dass die Mitglieder des Privacy Civil Liberties Oversight Board (PCLOB, Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten) immer noch nicht im Amt sind, ausgeräumt werden. Der BVDW hatte entsprechend berichtet (Update vom 18.10.2017).

In der Folge hatte auch die Art.29-Datenschutzgruppe in ihrer Stellungnahme vom 28.November 2017 konkrete kommerzielle sowie Fragen zum Zugang der US-Behörden zu den unter dem Datenschutzschild an das Land (entweder zu Strafverfolgungszwecken oder zu Zwecken der nationalen Sicherheit) übermittelten Daten betrifft, mit denen sich sowohl die Kommission als auch die US-Behörden befassen sollten. Die entsprechende Arbeitsgruppe hatte die umgehende Erstellung eines Aktionsplans gefordert , um zu zeigen, dass sämtliche Bedenken angegangen werden, und zwar spätestens bei der zweiten gemeinsamen Überprüfung, die in diesem Jahr ansteht.

Aber auch aktuellere Entwicklungen in den USA, wie die Verabschiedung des Cloud-Acts durch den US-Kongress und nicht zuletzt die Vorgänge rund um Facebook und Cambridge Analytica – bei welchen es sich um zertifizierte Unternehmen handelt – haben zur Beschlussvorlage geführt.

In insgesamt 35 Punkten werden die einzelenen Argumente und Problemlagen beschrieben und letztlich 7 Schlussfolgerungen mit Blick auf die Zukunft des EU-US Privacy-Shields gezogen.

Privacy Shield als wichtige Rechtsgrundlage für Übermittlungen personenbezogener Daten in die USA

Das so genannte Privacy Shield ist eine der wichtigsten Rechtsgrundlagen für die Übermittlung personenbezogener Daten an entsprechend zertifizierte US-Unternehmen und basiert auf einem Beschluss der EU-Kommission vom 16.Juli 2016. In diesem Durchführungsbeschluss werden die Kriterien definiert die notwendig sind, um ein angemessenes Datenschutzniveau im Rahmen der Etablierung und Beteiligung an einem Privacy-Shield-Mechanismus in den USA sicherzustellen. Eine Übermittlung an entsprechend zertifizierte US-Unternehmen ist daher schnell und einfach möglich. In diesen Fällen bedarf es außer der Information an Betroffene gemäß Art. 13 Abs. 1 (f) (bzw. 14 Abs. 1 (f)) DSGVO keiner weiteren Vorkehrungen seitens des übermittelnden Unternehmens.

Hintergrund sind die in Art. 45 DSGVO genannten Voraussetzungen für Datenübermittlungen in Drittländer außerhalb der EU. Eine Übermittlung ist danach zulässig wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf dann keiner besonderen Genehmigung. Die EU-Kommission kann solche Angemessenheitsentscheidungen hinsichtlich gesamter Rechtssysteme für Drittländer vornehmen (z.B. Argentinien, Israel, Neuseeland oder Schweiz). Sie kann aber auch sektorspezifische Beschlüsse fassen. So gelten die USA insgesamt aus Datenschutzsicht als “unsicheres Drittland”. Der Angemessenheitsbeschluss bezieht sich hier allein auf unter den Privacy Shield fallende Datenübermittlungen. Die EU-Kommission hat eine entsprechende Infoseite zum EU-US Privacy Shield eingerichtet.

Neben Übermittlungen auf Grundlage von Angemessenheitsbeschlüssen (hier an Privacy Shield zertifizierte US-Unternehmen) sieht die DSGVO zwar auch andere Möglichkeiten vor. Diese sind prinzipiell:

  • Vertrag oder Einwilligung des Betroffenen, (Art. 49 DSGVO)
  • Andere geeignete Garantien wie die Verwendung von Standardvertragsklauseln, die Verabredung verbindlicher Verhaltensregeln (CoC) gemäß Art. 40 DSGVO oder gemäß Art. 42 DSGVO zertifizierte Verfahren, (Art. 46 DSGVO)
  • Verbindliche Datenschutzvorschriften (Binding Corporate Rules), (Art. 47 DSGVO)

Allerdings dürfte die Möglichkeit von Datenübermittlungen an zertifizierte US-Unternehmen eine der wichtigsten Optionen sein und ein Entfall – ähnlich wie bei Safe Harbor – zu erheblichen Problemen führen.

Privacy Shield und Standardvertragsklauseln Gegenstand von Überprüfungen vor dem EuGH

Die derzeit am meisten im Einsatz befindlichen Instrumente (Privacy Shield und Standardvertragsklauseln) sind überdies auch anderweitig unter Beschuss. In seiner Entschließung weist das Parlament ausdrücklich auf das bestehende Risiko hin, dass der dem Privacy Shield zugrundeliegende Durchführungsbschluss der EU-Kommission (EU) 2016/1250 durch den Europäischen Gerichtshof EuGH in absehbarer Zeit für ungültig erklärt werden könnte. Unternehmen könnten sich dann – wie bereits einmal geschehen – von heute auf morgen nicht mehr auf die Zertifizierung eines US-Unternehmens bei transatlantischen Datenübermittlungen stützen.

Zwar war eine erste Klage gegen das Privacy Shield zunächst aus formalen Gründen gescheitert (siehe BVDW-Update 30.10.2017). Tatsächlich liegen noch zwei entsprechende Verfahren beim EuGH. Mit Klage vom 25.Oktober 2016 hatten mehrere Organisationen den Durchführungsbeschluss angefochten. Auch in der Sache Schrems II werden beide Instrumente hinterfragt. Erst kürzlich hatte hier allerdings der Irische Supreme Court eine Berufung von Facebook zugelassen, jedoch werden die Fragen trotz allem gestellt werden. Die Vorlage liegt jedenfalls bereits beim EuGH.

Verbesserung und Erhalt der Instrumente notwendig

Um zu vermeiden, dass hier bald Rechtsunsicherheiten oder gar -lücken entstehen muss auf Seiten der Kommission, vor allem aber transatlantisch, nachgebessert werden. Wie schon beim alten Safe Harbour ist Nichtstun mit den entsprechden Risiken für die digitale Wirtschaft hier keine politische Lösung.

Kommentar schreiben