Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

K(l)eine Entwarnung für den EU-U.S. Privacy-Shield

Das Privacy Shield soll den Datenfluss aus der EU in die USA regeln. Doch wegen Querelen mit der US-Regierung drohte Brüssel mit einem Ende des Abkommens. Sollte es wirklich soweit kommen, müssten insbesondere IT-Dienstleister reagieren und den Datentransfer rechtlich neu regeln. Immerhin schlugen die EU und USA zuletzt wieder versöhnliche Töne an, nachdem die USA wesentlichen Forderungen der EU, insbesondere der Einsetzung einer Ombudsperson, nachgekommen sind. 

 

In der Welt des Datenschutzes ist viel in Bewegung. Während das Inkrafttreten der DSGVO vielfach Beachtung erfahren hat, geht ein weiterer wichtiger Problemkreis in der breiten Öffentlichkeit fast unter. Der EuGH entschied 2015, dass das Safe Harbor Agreement als Grundlage für den Datentransfer zwischen der EU und den USA nicht mehr als geeignet angesehen werden kann. Seitdem wurde unter hohem Druck versucht, einen Ersatz zu schaffen.

Das sogenannte EU-US Privacy Shield wurde zwischen den Behörden abgestimmt und sollte nunmehr den Kriterien des EuGH weitgehend gerecht werden. Die Wirksamkeit dieser Lösung steht unterdessen abermals in Frage und es ist ungewiss, ob zukünftig noch ein datenschutzkonformer Transfer von personenbezogenen Daten auf Basis des EU-US Privacy Shield in die USA möglich ist. Ausgangspunkt dieser Zweifel war eine kritische Entschließung des EU-Parlaments aus April dieses Jahres, in der weiterhin erhebliche Defizite beim Datenschutz und die bestehende Überwachungspraxis in den USA für nicht vereinbar mit EU-Recht erklärt worden sind. Sogar die vollständige Aufhebung des Privacy Shields wurde seitens der EU in Erwägung gezogen.

Im Falle einer Aufkündigung müssten die Unternehmen den Datentransfer in die USA unverzüglich einstellen bis sie einen neuen rechtlichen Rahmen aufgestellt haben. Sie dürfen sich beim Transfer von sensiblen Personaldaten nicht mehr darauf verlassen, dass mit diesen in den USA regelkonform umgegangen wird. Die Verantwortung für die Daten liegt dann wieder bei den Unternehmen, die dann den Datenschutz selbst aktiv absichern müssen. IT-Dienstleister wie etwa Cloud-Anbieter, aber auch Unternehmen mit Rechenzentrum in den USA, müssen ihre gesamten Abläufe auf den Prüfstand stellen.

Alternativen zum Privacy Shield

Zweifelhaft bleibt, ob die EU willens und politisch in der Lage ist, die vollen Konsequenzen einer möglichen Nichtigkeitserklärung zu tragen. Dennoch stellt sich für Unternehmen die Frage, welche Maßnahmen zur Aufrechterhaltung erforderlicher datenschutzrechtlicher Schutzstandards im Fall der Aufhebung des EU-US Privacy Shield zu treffen sind.

Derzeit bestehen neben dem EU-US Privacy Shield nur die Alternativen der in der DSGVO explizit genannten Standardvertragsklauseln, verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Verhaltensregeln (Code of Conduct). Mit anderen Worten können Garantien eines angemessenen Datenschutzniveaus nur noch auf Ebene der datenverabeitenenden Stellen, d.h. durch privatrechtliche Vereinbarung zwischen den Beteiligten vereinbart werden.

Der Wegfall eines zwischenstaatlichen Schutzrahmens wäre aber für Unternehmen, die ihren Sitz in den USA haben, mit erheblichen Schwierigkeiten und Unsicherheiten verbunden. Jene Unternehmen, die aufgrund einer Präsenz in den USA unmittelbar den US Rechtsvorschriften unterliegen, werden insbesondere mit Regelungsansätzen konfrontiert, die zu dem europäischen Regelwerk nach der DSGVO zumindest in einem Spannungsfeld stehen.

 

  • Mit Blick auf die nationale Sicherheit ist durch die sog. Presidential Policy Directive 28 in den USA nach wie vor eine Massendatensammlung möglich. Problematisch ist dabei die Diskrepanz der Voraussetzungen einer Massendatensammlung und den in der DSGVO verankerten strengen Kriterien der Notwendigkeit und Verhältnismäßigkeit der Datenerhebung.

 

  • Im März 2017 hat sowohl der US-Senat als auch das US-Repräsentantenhaus für die Ablehnung der Vorschrift über den Schutz der Privatsphäre von Kunden von Breitbanddiensten und weiteren Telekommunikationsdiensten der Federal Communications Commission gestimmt.

 

  • Weiterhin bedarf es zur Weitergabe erhobener privater Daten an andere Stellen durch die NSA keiner Ermächtigung, richterlicher Anordnung oder sonstigen Genehmigung des US-Kongresses. Besonders Problematisch dabei ist das Fehlen besonderer Rechtsbehelfe für Betroffene aus der EU bei einer Überwachung aus Gründen der nationalen Sicherheit.

 

Die vorgenannten Beispiele zeigen, dass auch die in der DSGVO explizit genannten Standardvertragsklauseln kein angemessenes Schutzniveau gemäß Art. 45 Abs. 1 DSGVO gewährleisten können. Denn diese können auch nicht verhindern, dass ein in den USA ansässiges Unternehmen den dortigen gesetzlichen Regelungen unterworfen und zur Kooperation und Herausgabe der Daten an US-Behörden verpflichtet ist.

Es kann nur eine Regelung auf privatrechtlicher Ebene geschaffen werden, die die inhaltlichen Anforderungen des strengeren Regelungsregimes so weit wie möglich gerecht wird. Die Anforderungen, wie sie in den DSGVO-Standardklauseln beschrieben werden, bieten eine wichtige Orientierung für die Aufstellung von Datentransferstandards in Unternehmensgruppen. Auch diese bilden keine datenschutzrechtlich unbedenkliche Grundlage, da auch privatrechtliche Vereinbarungen den zuvor skizzierten gesetzlichen Eingriffsvorbehalten unterliegen. Überdies kann deren pauschale Anerkennung in US Unternehmen, die sich ihrer gesetzlichen Verpflichtungen gegenüber den Behörden bewusst sind, vereinzelt auf Vorbehalte stoßen.

Sollen gruppenintern oder ggf. mit Kooperationspartnern individuelle Regeln zum Datenschutz vereinbart werden, so ist es empfehlenswert, folgende Grundprinzipien hervorzuheben und abzusichern, um ein anerkennungsfähiges Schutzniveau zu erreichen. Hierbei ist insbesondere hervorzuheben:

·             Allgemeine Anforderungen an die Verarbeitung personenbezogener Daten;
·             Verbot der Verarbeitung sensibler personenbezogener Daten;
·             Auskunftsrecht;
·             Recht auf Löschung (Recht auf „Vergessenwerden“);
·             Recht auf Einschränkung der Verarbeitung;
·             Recht auf Datenübertragbarkeit.

 

Ohne politische Lösung bliebe eine große Grauzone

Es ist festzustellen, dass der aktuell noch gültige EU-US Privacy Shield für viele transatlantische wirtschaftliche und wissenschaftliche Kooperationen ausgesprochen förderlich ist. Demgegenüber ist die bloße Sicherstellung der datenschutzrechtlichen Compliance auf privater Grundlage ohne öffentlich-rechtlich koordinierten Rechtsrahmen zwischen der EU und den USA nicht ausreichend. Die Datenverarbeitung verbleibt bei einer Beschränkung auf das Privatrecht immer in einer rechtlichen Grauzone.

Die Aufhebung des Abkommens würde den wirtschaftlichen Akteuren die Grundlage eines tatsächlich datenschutzkonformen Transfers entziehen. Erhebliche Risiken würden auf die privaten Rechtsanwender verlagert, die auch bei höchst restriktiven und selbstauferlegten Datenschutzstandards nicht ausgeschlossen werden können.

Die EU hat mit der Verankerung des Marktortprinzips, wodurch sich vor allem bedeutende US-amerikanische Unternehmen mit entsprechenden Prozess- und Produktgestaltungen in hohem Maße auf ein europäisches Datenschutzverständnis zubewegt haben, eine positive Entwicklung angestoßen. Unter dem Gesichtspunkt der extraterritorialen Rechtssetzung ist die DSGVO bereits jetzt eine Erfolgsgeschichte.

Ob sich dieser Erfolg jedoch auch dort fortsetzen lässt, wo die USA ihre Sicherheitsinteressen tangiert sehen, bleibt abzuwarten. Jedenfalls wäre es unverantwortlich, dem rechtssicheren, wirtschaftlich unvermeidlichen Datenaustausch aufgrund eines jahrzehntealten rechtspolitischen Dissens mit einer vorschnellen Entscheidung die Grundlage zu entziehen. Letztlich bildet doch die Verarbeitung von Daten in Zeiten der Digitalisierung eine zentrale Quelle der Wertschöpfung. Die zuletzt wieder konstruktiven Gespräche zwischen der EU und den USA vom 18. Oktober sind vor diesem Hintergrund als positives Signal in einem nach wie vor schwierigen Umfeld zu werten.

 ARQIS-Tobias-Brors ARQIS-Philipp-Maier

Autoren:  Dr. Tobias Brors und Dr. Philipp Maier sind Rechtsanwälte der Wirtschaftskanzlei ARQIS.

(Foto: NicoElNino/Fotolia)