Privacy Shield – Konflikt mit den USA spitzt sich zu

Der Konflikt um den Privacy Shield, d. h. die Absprache zwischen der EU-Kommission und den USA zu Datenübermittlungen an US-Unternehmen, ist weiter ungelöst. Das EU-Parlament hatte bereits in einer Resolution gefordert, die transatlantische Datenschutzvereinbarung auszusetzen, wenn die USA nicht allen Anforderungen der Absprache nachkämen. Nun hat EU-Justizkommissarin Vera Jourova den USA eine Frist bis Ende Oktober gesetzt. Noch im selben Monat will sie sich zudem mit US-Wirtschaftsminister Wilbur Ross treffen, um über eine Zukunft des Privacy Shields zu entscheiden. Der Ausgang könnte weitreichende Folgen für eine Vielzahl von in der EU ansässigen Unternehmen haben, erläutert Ingemar Kartheuser, Counsel der Sozietät Linklaters.

 Der Privacy Shield erlaubt seit 2016 die Übermittlung personenbezogener Daten an rd. 4 000 US-Unternehmen, die sich nach einem bestimmten Regelwerk selbst zertifiziert haben und damit ein – so das erklärte Ziel – adäquates Datenschutzniveau zusichern. Im Gegenzug räumen die USA den EU-Bürgern Rechte ein, beispielsweise zur Beschwerde. Zudem dürfen US-Aufsichtsbehörden nur in bestimmten Fällen auf personenbezogene Daten von Nicht-US-Bürgern zugreifen. Eine solche Regelung war notwendig geworden, nachdem der EuGH die Vorgängerregelung Safe Harbor im Oktober 2015 auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems für unwirksam erklärt hatte.

Abkommen von Anfang an in der Kritik

Seit Inkrafttreten ist der Privacy Shield indes massiver Kritik ausgesetzt. Aus Sicht der EU-Kommission haben die USA entscheidende Punkte nicht umgesetzt: So fehlt es an der Einrichtung eines Ombudsmanns im US-Außenministerium, bei dem sich EU-Bürger beschweren können, z. B. über das Gebaren der US-amerikanischen Geheimdienste. Bislang gibt es nur einen Interimsbeauftragten. Auch das EU-Parlament bemängelt, dass der für Datenverwendungen benutzte Begriff der „nationalen Sicherheit“ nicht justiziabel sei und die US-Geheimdienste wie die NSA weiterhin große Mengen personenbezogener Daten von Nicht-US-Bürgern erheben dürften, ohne zuvor Gerichts- oder andere Beschlüsse einzuholen. Datenschützer rügen, der Privacy Shield sei rechtlich nicht verbindlich und lasse weiterhin eine flächendeckende und anlasslose Überwachung von EU-Bürgern zu.

Ob das Treffen zwischen EU-Justizkommissarin Vera Jourova und US-Wirtschaftsminister Wilbur Ross im Oktober wirklich Abhilfe bringt, bleibt abzuwarten. Die Trump-Administration hat bereits deutlich gemacht, wie wenig sie von den europäischen Datenschutzvorgaben – etwa auch der europäischen Datenschutzgrundverordnung, die seit Mai 2018 gilt – hält. Ross selbst bewertet das europäische Datenschutzrecht als übertrieben streng. Zwar gibt es auch in den USA mittlerweile Bestrebungen, den Datenschutz zu verbessern: So hat etwa Kalifornien in diesem Sommer ein neues Datenschutzgesetz verabschiedet, das US-Bürgern ab 2020 u. a. stärkere Auskunftsrechte einräumt. Gleichwohl ist der Datenschutz in den Vereinigten Staaten vergleichsweise schwach ausgeprägt. Das der EU-Datenschutzgrundverordnung zugrundeliegende Prinzip des „Verbots mit Erlaubnisvorbehalt“ – d. h. keine Datenverarbeitung ohne gesetzliche Erlaubnis – ist in den USA unbekannt.

Folgen für die Praxis

Sollten sich die USA nicht bewegen, könnte sich die EU-Kommission einseitig vom Privacy Shield lossagen. Damit würde es als Rechtsgrundlage für Datenübermittlungen in die USA entfallen und Unternehmen müssten sich nach Alternativen umsehen. Am bedeutsamsten dürften in diesem Zusammenhang so genannte EU-Standardvertragsklauseln sein. Hierbei handelt es sich um formalisierte Datenschutzverträge, mit denen sich der Datenempfänger im Drittland verpflichtet, Betroffenenrechten nachzukommen und personenbezogene Daten mit technischen und organisatorischen Maßnahmen angemessen zu schützen. Diese müssen zwar nicht behördlich genehmigt, jedoch zwischen den betreffenden Parteien abgestimmt und vereinbart werden. Das kann äußerst zeitintensiv sein. Und letztlich können auch sie den Zugriff von US-Behörden auf personenbezogene Daten nicht ausschließen. Erschwerend kommt hinzu, dass sie Gegenstand eines Verfahrens in Irland sind, das der Datenschutzaktivist Max Schrems gegen Facebook angestrengt hatte. Wegen einer Intervention des Irish Supreme Courts bezüglich der Vorlage des Verfahrens an den EuGH ist mit einer baldigen Entscheidung zu den EU-Standardvertragsklauseln jedoch nicht zu rechnen.

Eine andere Möglichkeit ist die Einholung von Einwilligungen der Betroffenen, bevor deren Daten in die USA weitergegeben werden. Problem aus Sicht der Unternehmen: Einwilligungen müssen freiwillig erteilt und können von den Betroffenen jederzeit ohne Grund widerrufen werden. Eine hundertprozentige Rücklaufquote ist deshalb denkbar selten. Bei den Beschäftigten verhält es sich noch schwieriger: Hier wird ein faktischer Druck durch den Arbeitgeber angenommen und deshalb eine Einwilligung regelmäßig als unwirksam angesehen, es sei denn, sie hätten zumindest gleichlaufende Interessen mit ihrem Arbeitgeber. Eine Einwilligungslösung ist daher für EU-Unternehmen vielfach nicht praktikabel.

Würde der Privacy Shield durch Brüssel tatsächlich ausgesetzt, würde der wirtschaftlich bedeutende transatlantische Datenverkehr zwar nicht unmöglich, aber erheblich erschwert. In der EU ansässige Unternehmen sollten vorbereitet sein.