EU-US Privacy Shield ersetzt Safe Harbor

EU-US Privacy Shield
EU-US Privacy Shield ersetzt Safe Harbor

EU-US Privacy Shield

Seitdem das Safe Harbor Abkommen im Oktober 2015 aufgrund seiner Unwirksamkeit von dem österreichischen Juristen Maximilian Schrems vor dem europäischen Gerichtshof gekippt wurde, wurde nach einem neuen Abkommen gesucht, welches das Safe Harbor ablösen sollte. Nun gibt es für den Datenverkehr zwischen der Europäischen Union und Amerika einen neuen Rechtsrahmen. 

Was ist das „Privacy Shield“?

Wenn Daten aus einem EU Mitgliedsstaat in die USA fließen, also in Gefilde, die nicht dem europäischen Datenschutzstandard entsprechen, so muss sichergestellt sein, dass die Daten dort ebenso behutsam gehandhabt werden, wie in Europa. Ein grundsätzliche Problem, denn in den USA gilt auch heutzutage noch kein annähernd so hohes Datenschutzniveau wie etwa in Deutschland. Der Datenschutz wird aus Sicht vieler Datenschützer in Amerika immer noch stiefmütterlich behandelt. Der Patriot Act etwa, ein us-amerikanisches Bundesgesetz mit dem Ziel der Terrorismusbekämpfung, gestattet der NSA, dem FBI und der CIA einen uneingeschränkten Zugriff auf Serverdaten von amerikanischen Unternehmen, ohne dass es dazu einer richterlichen Anordnung bedürfte. Auch erlangen Betroffene von dem Datenzugriff keine Kenntnis. In Deutschland wäre so etwas undenkbar. Denn im Gegensatz zu den USA gibt es bei uns ein branchenübergreifendes bundesweit verbindliches Datenschutzgesetz.

Daher musste vor einem Datenfluss nach Übersee beim Empfänger ein datenschutzrechtliches Niveau geschaffen werden, das einen gewissen Datenschutzstandard sicherstellen kann. Dies soll seit dem 26.10.2000 über ein Vertragswerk sichergestellt werden, dem sich das jeweilige US-Unternehmen zu unterwerfen hat. Diese Aufgabe nahm zunächst das sogenannte Safe Harbor Abkommen war. Doch der EuGH entschied vor genau 1 Jahr (am 06.10.2015), dass das Safe Harbor Regelungen zum Datenaustausch die Daten europäischer Nutzer in den USA nicht ausreichend vor dem Zugriff der Behörden schützen würde.

So  musste ein neues Abkommen her, das den Datenfluss zwischen der EU und den USA an bestimmte Sicherheitsregelungen knüpfen sollte. Dieses wird als „EU-US Privacy Shield“ (auch EU US Datenschutzschild) bezeichnet. Es wurde am 12.07.2016 durch die europäische Kommission beschlossen und legt neue Standards für die Datenverwendung in den USA fest.

Regelungen und Ziele des EU-US Privacy Shields

Da in den USA und in der EU ein unterschiedlicher Datenschutzmaßstab gilt, tat man sich lange schwer damit, diese unterschiedlichen Interessen in Einklang zu bringen. Die US gelten nach der Richtlinie 95/46/EG als ein solches Drittland, welches kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 der Richtlinie aufweist. Soweit ein Drittland kein angemessenes Schutzniveau trägt, ist die Übermittlung personenbezogener Daten in dieses Land nach der Richtlinie zu untersagen. Ausnahmen von diesem Verbot sind nur unter ganz bestimmten Voraussetzungen vorzusehen, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat oder die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines wichtigen öffentlichen Interesses erforderlich ist. Gerade einen solchen Vertrag wollte man schaffen, stieß aber auf erhebliche Schwierigkeiten, die nicht zuletzt der „datenverwendungsliberalen Gesetzgebung“ in den US zuzuschreiben ist.

Dennoch hat man eine Lösung gefunden und einen neuen Rechtsrahmen geschaffen. Ziel des neuen „Schutzschildes“ ist es, einen Rahmen für ein angemessen hohes Datenschutzniveau für zertifizierte Datenempfänger auf der anderen Seite des Atlantik zu gestalten und zugleich Voraussetzungen für eine strengere Überwachung im Umgang mit den Daten zu schaffen. Insoweit wurde den Europäern etwa eine erweiterte Klagemöglichkeit zugesprochen.

Gerade hieran scheiterte das Safe Harbor Konzept nach Auffassung des EuGH. Auch nach Safe Harbor zertifizierte Datenempfänger waren im Fall der Fälle weiterhin verpflichtet, den amerikanischen Behörden Zugriff auf personenbezogene Daten zu gewähren und zwar anlasslos. Die fehlenden Regelungen, die es den US-Behörden überdies gestatteten, Betroffenen jedwede Benachrichtigung über die Datenverwendung vorzuenthalten, geschweige denn sich hiergegen zu wehren, war mit dem europäischen Recht nicht in Einklang zu bringen. All diese Kritikpunkte will das EU-US Privacy Shield nunmehr ausräumen.

Um den Kriterien des EU-US Privacy Shields zu entsprechen, müssen Unternehmen versprechen, wenigstens den europäischen Mindeststandard des Datenschutzes einzuhalten. Sodann erhalten die Unternehmen eine entsprechende Zertifizierung und darf sodann personenbezogene Daten legal in die USA übermitteln, ohne sich fortan weiterhin um die stete Einholung einer Einwilligung der von einer Datennutzung Betroffenen mühen zu müssen.

Im Jahrerhytmus soll es zukünftig eine Revision des Privacy Shields für aktuelle Entwicklungen und Neuregelungen geben.

Rechtssicherheit für europäische Unternehmen

Schafft das EU-US Privacy Shield eine hinreichende Rechtsicherheit und wenn ja für wen?

Dieses neue Abkommen schützt die Grundrechte der Europäer und bedeutet Rechtssicherheit für Unternehmen.

Diese Auffassung vertritt Vera Jurova, die zuständige EU-Justizkommissarin mit Hinblick darauf, dass das Privacy Shield zwar eine Rechtssicherheit für europäische Unternehmen bietet, andererseits den amerikanischen Unternehmen gleichwohl viele Pflichten auferlegt.

Im Rahmen der Rechtssicherheit werden nicht nur die datenschutzrechtlichen Pflichten und deren Durchsetzungsmöglichkeiten in den USA, sondern auch klare Grenzen und Schutzmaßnahmen gegen den Zugriff von amerikanischen Behörden auf die Daten von EU-Bürgern eingeführt. Außerdem gehört zu der Rechtssicherheit auch der Schutz der Daten durch neue Rechtsmittel, mit welchen sich zukünftig ein unabhängiger Ombudsmann befassen wird.

Pflichten für amerikanische Unternehmen

Bereits ab dem 1. August 2016 können sich us-amerikanische Unternehmen unter dem EU-US Privacy Shield eigenständig zertifizieren. Bereits mit Aufnahme des Zertifizierungsprozesses werden den amerikanischen Unternehmen zahlreiche Pflichten auferlegt. So müssen sie beispielsweise europäische datenschutzrechtliche Prinzipien einhalten und innerhalb einer 45-Tagesfrist auf Beschwerden von Betroffenen reagieren. Weiterhin müssen die Unternehmen eine ausführliche Datenschutzerklärung auf ihrer Webseite veröffentlichen und offenlegen, wie die Daten der Betroffenen genutzt werden.

Es gibt bereits eine Liste der nach dem EU-US Privacy Shield zertifizierten Unternehmen. Hier kann man einsehen, welche Stellen in den USA bereits den Zertifizierungsprozess abgeschlossen haben.

Ein Ombudsmann als Hüter der Rechte

Zum Schutz der Rechte der Europäer soll ein sogenannter Ombudsmann im US-Außenministerium Einkehr halten. Zu seinen Aufgaben gehört unter anderem die Überwachung der Einhaltung des Privacy Shields. EU-Bürger, die ihre Datenschutzrechte verletzt sehen, können sich an den Ombudsmann wenden. Dessen ungeachtet sollen im Fall einer Rechtsverletzung EU-Bürger vor US-Gerichte ziehen dürfen.

Auch die Strafverfolgungsbehörden und Geheimdienste der USA werden sich zum Schutz europäischer Datenschutzmaßgaben an die klaren Bestimmungen des Datenschutzschildes halten müssen. Auch hier tritt der Ombudsmann ein. Er überprüft, ob ein EU-Bürger zu Unrecht überwacht wurde.

Kritik

Trotz allem hat dieses Abkommen, wie schon sein Vorgänger, Kritik ausgelöst. Besonders skeptisch stehen Kritiker des EU-US Privacy Shields dem Umstand gegenüber, dass es keine Kernänderung gegenüber den Safe Harbor Regelungen gibt. Die Grundprinzipien des alten Abkommens bestehen weiterhin fort. So werden weiterhin Massenüberwachungen in den US legitimert, wenn auch nur unter bestimmten Voraussetzungen (z.B. zur Abwehr internationaler Kriminalität).