Ein Beitrag von Rechtsanwältin Sylle Schreyer-Bestmann, CMS Deutschland.
Das Privacy Shield scheint in Gefahr zu geraten: Ein Dekret des neugewählten Präsidenten Donald Trump lässt befürchten, dass dem Datenaustausch zwischen der EU und den USA neue Steine in den Weg gelegt werden.
Die Europäische Datenschutzrichtlinie und die EU-Datenschutzgrundverordnung, die ab Mai 2018 für alle Unternehmen gilt, bestimmen, dass die Übermittlung personenbezogener Daten in Drittländer nur zulässig ist, wenn dort ein angemessenes Datenschutzniveau besteht. Drittländer sind Staaten, die außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes liegen.
Die Regel gilt auch für den Datenaustausch mit Unternehmen in den USA. Ein Datentausch findet schon statt, wenn ein anderes Unternehmen Zugriff auf bestimmte, als „personenbezogene Daten“ geschützte Informationen hat. Beispiele aus der Praxis sind die Nutzung US-amerikanischer Cloud-Anbieter durch einen in der EU ansässigen Kunden oder der Austausch von Kunden- oder Mitarbeiterdaten zwischen Unternehmen eines Konzerns.
Safe Harbors plötzliches Ende
Im Fall einer Übermittlung von Daten an in den USA ansässige Empfängerunternehmen war Safe Harbor das Mittel der Wahl. Konnte der Datenempfänger nachweisen, dass er den sogenannten Safe-Harbor-Prinzipien beigetreten war, wurde von einer Angemessenheit des Datenschutzniveaus ausgegangen. Von Safe Harbor wurde in der Praxis massenhaft Gebrauch gemacht.
Safe Harbor fand jedoch im Oktober 2015 sein plötzliches Ende. Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Kommissionsentscheidung zu Safe Harbor für ungültig erklärt. Safe Harbor stellte nach Einschätzung des EuGH nicht mehr sicher, dass das Datenschutzniveau bei US-amerikanischen Unternehmen und das Datenschutzniveau in der EU äquivalent waren. Der EuGH bezog sich dabei maßgeblich auf den möglichen Zugriff der US-Sicherheitsbehörden auf Daten von EU-Bürgern – vor allem durch die National Security Agency (NSA). Seitdem war unklar, wie Datenübermittlungen in die USA auf rechtlich sichere Füße gestellt werden konnten.
Schutzschild für personenbezogene Daten
Eine neue Lösung war schon knapp acht Monate nach der EuGH-Entscheidung ausverhandelt – das sogenannte Privacy Shield gilt bis heute. Wie bei seinem Vorgänger handelt es sich beim EU-US-Privacy-Shield um eine freiwillige Selbstverpflichtung der Unternehmen. Die Kriterien, die zu erfüllen sind, sind allerdings viel strenger. Im Juli 2016 erkannte die EU-Kommission durch einen sogenannten Angemessenheitsbeschluss das Privacy Shield an. Seitdem kann von einem „angemessenen Datenschutzniveau“ bei US-Datenimporteuren ausgegangen werden, wenn sie dem Privacy Shield beigetreten sind. Davon machten bisher mehr als 1.500 US-amerikanische Unternehmen Gebrauch.
Schutz vor Massenüberwachung nur für Amerikaner?
Am 25. Januar 2017 unterschrieb nun Donald Trump die Anordnung (Executive Order) zur „Verbesserung der öffentlichen Sicherheit“. Darin ordnet der neue US-Präsident an, dass Personen, die nicht Staatsangehörige der Vereinigten Staaten oder gesetzliche ständige Einwohner sind, vom Schutz des „Privacy Acts“ auszunehmen sind. Wird damit den EU-Bürgern der Datenschutz versagt?
Der Privacy Act schützt persönliche Daten der US-Bürger vor Massenüberwachung. Er bildet zusammen mit dem „Judicial Redress Act“ die Grundlage für den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield. EU-Bürger hatten die Möglichkeit, sich an US-Behörden zu wenden, wenn US-Unternehmen gegen Datenschutzrechte verstoßen. Dieses Privileg könnte nun ein Ende haben, denn auch wenn das Privacy Shield von Trump nicht direkt unter Beschuss genommen wurde, entstehen Unsicherheiten. Die Auswirkungen für Unternehmen und das Vertrauen in die USA und den gemeinsamen Datenschutz wurden mit dem Trump-Dekret erschüttert. Selbst amerikanische Unternehmen formulierten Besorgnis in den sozialen Medien.
Alternativen zum Privacy Shield?
Welche Alternativen gibt es für Unternehmen, die Datenexporte in die USA gestalten müssen, falls das Privacy Shield fallen würde? Diese Fragen müssen sich in erster Linie in der EU ansässige Unternehmen stellen, die Daten übermitteln. Dabei spielt es keine Rolle, ob sie Daten zum Zweck der Speicherung oder einer weiteren Verarbeitung in den USA übermitteln. Unternehmen sind für die Rechtmäßigkeit ihres Transfers selbst verantwortlich und so auch Sanktionen der europäischen Aufsichtsbehörden direkt ausgesetzt.
Noch immer besteht die Möglichkeit, sich auf einen der sogenannten Erlaubnis-Tatbestände zu berufen, die das Datenschutzrecht zur Verfügung stellt. Das betrifft allerdings lediglich Einzelfälle. Ein Beispiel für einen solchen Fall wäre die Erfüllung eines Vertrags, den ein Kunde mit der deutschen Gesellschaft schließt, bei dem die Leistung jedoch durch ein US-amerikanisches Unternehmen erbracht wird.
Datenübermittlungen sind auch zulässig, wenn der Betroffene seine Einwilligung erteilt. Die Hürden für eine solche Einwilligung sind jedoch hoch. Sie erfordern die konkrete Informationen des Betroffenen darüber, welche Daten übermittelt werden und zu welchem Zweck. Generaleinwilligungen sind nicht möglich.
Ausblick
Wahrscheinlich ist, dass – sollte das Privacy Shield nicht weiter Bestand haben – künftig die sogenannten Standardvertragsklauseln der EU-Kommission (wieder) das Mittel der Wahl sein werden. Im Fall der Standardvertragsklauseln schließen Datenexporteur und Datenimporteur einen Vertrag ab. Dieser Vertrag muss den von der EU-Kommission verabschiedeten Standardvertragsklauseln entsprechen. Das hatten viele Unternehmen bereits nach dem Wegfall von Safe Harbor praktiziert, um ihren Datentransfers rechtssicher zu realisieren.
Die EU-Kommission hat kürzlich bestätigt, dass sie von einer Zulässigkeit des Datentransfers auf der Grundlage der Standardvertragsklauseln ausgeht. Also bestünde bei der Vereinbarung von Standardvertragsklauseln Rechtssicherheit, solange der EuGH nichts Gegenteiliges entscheidet.
Zu empfehlen ist allen betroffenen Unternehmen, die Lage zu beobachten. Bei der Kommission steht dieses Jahr die Überprüfung des Privacy Shield an.