Aus Safe Harbor wird Privacy Shield

Neuer Name, neues Glück: Werden die Zusicherungen der USA in der Praxis ausreichen?
Von Dr. Sebastian Jungermann und Dr. Jens Steger

Beitrag als PDF (Download)

Am 02.02.2016 verkündete die EU-Kommission, dass zwischen der EU und den USA eine Einigung darüber erzielt worden sei, das datenschutzrechtliche Safe-Harbor-Abkommen durch das neue EU-US Privacy Shield zu ersetzen. Die ausgehandelten Eckpunkte sollen dazu führen, dass zeitnah eine neue Rechtsgrundlage geschaffen werden kann.

Warum bestand Handlungsbedarf?

Am 06.10.2015 hatte der EuGH entschieden, dass das Safe-Harbor-Abkommen zwischen EU und USA aus europäischer Sicht nicht in der Lage ist, in den USA für ein angemessenes Datenschutzniveau zu sorgen. Genutzt haben dieses Konzept der Selbstzertifizierung über 4.000 Unternehmen. Seitdem hatten nationale Datenschutzaufsichtsbehörden die Befugnis, eine Datenübermittlung in die USA auf Basis des Safe-Harbor-Abkommens zu untersagen. Unklar ist zudem, ob auch EU-Standardverträge und Binding Corporate Rules (BCR) von dieser Entscheidung betroffen sind. Die EU-Kommission geht bislang von der Zulässigkeit dieser Alternativen aus und sagte eine rasche Neuregelung des Safe-Harbor-Abkommens zu.

Schonfrist bis Ende Januar 2016

Die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium der Kommission in Fragen des Datenschutzes, hatte im Oktober 2015 in einer ersten Stellungnahme eine nicht bindende Frist bis zum 31.01.2016 gesetzt. Bis zu diesem Zeitpunkt sollte die Kommission mit den USA eine Alternative aushandeln und bereitstellen. Zudem empfahl die Artikel-29-Gruppe, dass nationale Datenschutzbehörden bis dahin einen auf Safe Harbor basierenden Datenaustausch nicht untersagen oder sanktionieren möchten.

Zwei Tage nach Ablauf der Schonfrist haben EU-Kommission und US-Regierung nun zumindest politisch eine Nachfolgeregelung mit einem vielversprechenden Namen gefunden. Mitgeteilt wurden bislang aber nur Eckpunkte, keine Details. Daraufhin hat die Artikel-29-Gruppe in einer ersten Reaktion an die Europäische Kommission appelliert, ihr bis Ende Februar 2016 weitere Informationen zum geplanten Privacy Shield zukommen zu lassen, um die Details datenschutzrechtlich beurteilen zu können. Zudem will man, basierend auf diesen Neuregelungen zu den bislang noch geduldeten Alternativmaßnahmen, Standardklauseln und BCR, erneut und qualifiziert Stellung zu nehmen. Noch hält die Artikel-29-Gruppe den Einsatz dieser Alternativen für zulässig, obwohl vereinzelte nationale Datenschutzbehörden nach dem EuGH bereits relativ schrille Warnungen ausgesprochen und Konsequenzen angedroht hatten, in Deutschland insbesondere in Schleswig-Holstein und Hamburg. Auch wurden bereits erste Massenauskunftsverlangen an Unternehmen versandt, so dass die angeschriebenen Unternehmen bereits heute Auskunft zur Organisation ihrer Datenverarbeitung zu erteilen haben.

Erste Eckpunkte des Privacy Shield

Details sind bislang nicht bekannt, und es werden noch Wochen oder Monate vergehen, bis diese bislang nur politische Einigung in eine konkrete Rechtsgrundlage münden wird. Berichtet wird, dass die US-Behörden, also auch die US-Geheimdienste, schriftlich zugesichert haben, keine Massenüberwachung von EU-Bürgern mehr durchzuführen. Zu beachten ist insoweit aber auch der Patriot Act von 2001, der als Reaktion auf die Terroranschläge vom 11. September verabschiedet worden war und überwiegend weiterhin in Kraft ist. Danach können die US-Behörden nach wie vor ohne richterliche Anordnung auf Server von US-Unternehmen zugreifen.

Darüber hinaus sollen zunächst die datenverarbeitenden Unternehmen weiterhin in der Pflicht bleiben. Sie sollen verpflichtet werden, auf Beschwerden etwaiger Betroffener hin Datenschutzverstöße selbst abzustellen. Erst wenn keine Abhilfe geschaffen wird, sollen alternative Streitbeilegungen zur Verfügung stehen. Ferner sollen sich Betroffene in speziellen Fällen direkt an das US-Handelsministerium wenden dürfen, wobei diese Überwachungsinstanz für ein individuelles Beschwerdemanagement nicht zuständig sein soll. Erst als letzte Möglichkeit soll der Rechtsweg offenstehen, so dass eine bindende und vollstreckbare Entscheidung herbeigeführt werden kann. Letztlich sollen Datenschutzverstöße auch strafrechtlich sanktioniert werden können.

Ombudsmann beim US State Department

Neu geschaffen werden soll die Position eines Ombudsmanns beim US State Department, der als Anlaufstelle für Beschwerden von EU-Bürgern installiert wird und unabhängig von den US-Geheimdiensten agieren soll. Er soll vollen Zugang zu allen relevanten Informationen bekommen und zuständig für die Beantwortung der Bürgeranfragen sein.

Letztlich soll die Umsetzung des Privacy Shield von der EU und den USA regelmäßig überprüft und evaluiert werden, nebst jährlicher Veröffentlichung eines Berichts. Es bleibt abzuwarten, wie die Zusicherungen der USA in Sachen Datenschutzgarantie am Ende tatsächlich aussehen, vor allem im Hinblick auf den massenhaften Zugriff staatlicher Stellen auf personenbezogene Daten.

Richtig ist sicherlich, dass es eine völlig anlasslose Überwachung der grenzüberschreitenden Kommunikation und einen automatischen und umfassenden Zugriff auf personenbezogene Daten von EU-Bürgern nicht geben darf. Auch der US Freedom Act vom Juni 2015, der in Teilbereichen den Patriot Act ablöste und Massenüberwachung teilweise einschränkt, ist nicht geeignet, das Datenschutzniveau an das der EU heranzuführen. Andererseits sind in der EU, insbesondere nach den Anschlägen in Paris im November 2015, Forderungen aufgekommen, den Datenschutz zu lockern und den Geheimdiensten weitere Überwachungsbefugnisse einzuräumen, statt diese weiter zu beschränken. Eine Verschärfung einiger europäischer Sicherheits- und Polizeigesetze könnte möglicherweise dazu führen, aufgrund einer veränderten Überwachungspolitik in Europa den neuen Privacy Shield weniger stark zu torpedieren.

Was können Unternehmen heute tun?

Bis zur Umsetzung des neuen Rechtsrahmens, dieser ist nun zwischen der EU und den USA zu verhandeln und muss sodann von den Vertretern der EU-Mitgliedstaaten und dem Europaparlament angenommen werden, bleibt es spannend. Das hilft den betroffenen Unternehmen aber wenig. Insbesondere auch die hitzige und schrille Debatte in dieser Sache sorgt für enorme Rechtsunsicherheit, und ein Ende der Debatte ist nicht in Sicht. Aber bereits heute könnten folgende Punkte hilfreich und maßgeblich sein:

  • EU-Cloud – lassen Sie Ihre Daten in der EU: In Deutschland und anderen EU-Mitgliedstaaten werden im hohen Tempo weitere Datencenter und Cloudspeicher installiert. Rechenzentren, mit denen eine EU-Cloud realisiert werden kann, sind technisch möglich. Große Cloudanbieter wie Amazon, Microsoft, Google und andere sind dabei, entsprechende Kapazitäten zu erweitern.
  • EU-Standardvertragsklauseln und BCR: Setzen Sie EU-Standardverträge ein, und nutzen Sie BCRs. Letztere sind indes nicht einfach umzusetzen, ein Genehmigungsprozess kann je nach Art und Umfang des Unternehmens ein Jahr oder länger dauern, zudem haben viele Behörden den Genehmigungsprozess wegen des EuGH-Urteils ausgesetzt.
  • Fachgerechte Beratung und der richtige Umgang mit den Datenschutzbehörden: Bereits heute sind empfindliche Sanktionen im Fall eines Verstoßes gegen Datenschutzgesetze möglich, zukünftig werden Verstöße noch aggressiver verfolgt und sanktioniert. Der Aufbau eines zum Unternehmen passenden Datenschutzcompliancesystems und die richtige, frühe und offene Kooperation mit der zuständigen Datenschutzbehörde können in vielen Fällen dazu führen, dass Sanktionen vermieden und Risiken minimiert werden.

sebastian.jungermann@kayescholer.com
jens.steger@kayescholer.com