Neues Datenschutzabkommen EU-US Privacy Shield in Kraft getreten

15.07.2016 - Das neue Datenschutzabkommen zwischen der EU und den USA EU-US Privacy Shield ist am 12.07.2016 offiziell in Kraft getreten. Nachdem der EuGH im Bundesgesetzblällter RückenOktober 2015 das vormalige Datenschutzabkommen Safe Harbor für ungültig erklärt hatte, wurde das neue Datenschutzschild mit Spannung erwartet. Es schafft nun wieder Rechtssicherheit für Unternehmen, die auf den transatlantischen Datenverkehr mit den USA angewiesen sind. Diese fehlte zuletzt aufgrund der (zu) weitrechenden EuGH-Entscheidung.

Wesentliche Inhalte und Neuregelungen

Privacy Shield-Prinzipien und Selbstzertifizierung von US-Unternehmen

Das EU-US Privacy Shield enthält, zumindest was die grundlegenden Prinzipien des transatlantischen Datenaustauschs angeht, nicht viel neues zu Safe Harbor. Man könnte also mit Recht sagen: "Raider heißt jetzt Twix, sonst ändert sich nix." (vgl. auch Zeit online) Auch das Privacy Shield-System setzt wie Safe Harbor auf die Selbstzertifizierung von US-Unternehmen, die Daten aus der EU erhalten, verarbeiten und nutzen. Dabei heißt Selbstzertifizierung, dass sich diese US-Unternehmen den im Privacy Shield-Abkommen geregelten Prinzipien und Mechanismen unterwerfen müssen. Die selbstzertifizierten Unternehmen werden dann in eine Liste aufgenommen, die vom US-Handelsministerium veröffentlicht wird. Eine regelmäßige Überprüfung soll sicherstellen, dass die US-Unternehmen diese Prinzipien einhalten. Ansonsten können sie von der Liste gestrichen werden und verlieren ihren privilegierten Status.

Verbesserter Daten- und Grundrechtsschutz von EU-Bürgern

Das neue Datenschutzabkommen enthält durchaus auch Regelungen, die den Daten- und Grundrechtsschutz von EU-Bürgern in den USA verbessern sollen. Zumindest ist das die Auffassung der Kommission. Schlussendlich wollte die Kommission im Privacy Shield die Punkte umsetzen, die der EuGH in seiner Safe Harbor-Entscheidung beanstandet hatte, nämlich vor allem der in den USA nicht gleichwertig gewährleistete Grundrechtsschutz für EU-Bürger und die diesbezüglich nicht hinreichenden Rechtsschutzmöglichkeiten.

Hier in Kürze die wesentlichen Mechanismen:

- Beschwerdemöglichkeit beim US-Unternehmen, das innerhalb von 45 Tage eine Stellungnahme abgeben muss

- Einrichtung einer Beschwerdestelle auf EU-Ebene für Datenschutzanliegen von EU-Bürgern, die den transatlantischen Datenverkehr betreffen

- Einrichtung einer Ombudsstelle beim US-Außenministerium als Schnittstelle zur EU-Beschwerdestelle

- Zweckbindung und massenhafte Datensammlung und -auswertung (sog. "bulk collection") durch US-Behörden, insbes. Geheimdienste, nur noch in eng ausgestalteten Ausnahmefällen

- Schiedsverfahren

Füller auf Schriftsatz lang

Was wir davon halten

Wirtschaftsverbände, allen voran eco und BITKOM, begrüßen das Privacy Shield, da es neue Rechtssicherheit für Unternehmen schafft, die auf den transatlantischen Datenverkehr mit den USA angewiesen sind. Dem ist insofern zuzustimmen, als Unternehmen nach dem Kippen von Safe Harbor durch den EuGH auf andere Mechanismen ausweichen mussten (EU-Standardvertragsklauseln, Binding Corporate Rules, Einzelfallermächtigung, Einwilligungslösung), die um einiges komplexer umzusetzen sind, als sich auf eine Entscheidung der Kommission stützen zu können, die ein angemessenes Datenschutzniveau für selbstzertifizierte US-Unternehmen anerkennt.

Unübersichtliche Struktur und Inhalte

Bei Datenschützern stößt die Neuregelung überwiegend auf Kritik. So handelt es sich beim Privacy Shield um ein fast undurchdringliches "Dickicht" von Unterlagen, deren Rechtsverbindlichkeit nach US-amerikanischem Recht fraglich ist. Das Privacy Shield ist nicht etwa ein völkerrechtlicher Vertrag, dessen Rechtsverbindlichkeit für beide Parteien außer Frage stünde, sondern besteht aus einer Angemessenheitsentscheidung der Kommission und zahlreichen Zusicherungen der US-Institutionen in Schreiben und Briefen an die Kommission. Gerade die Verbindlichkeit und Bindungswirkung dieser Schreiben ist fraglich, zumindest solange diese nicht im offiziellen US-Bundesregister veröffentlicht sind und ihnen nicht offzielle Rechtsverbindlichkeit zuerkannt worden ist.

Fragliche Unabhängigkeit der US-Ombudsperson

Zudem bestehen Zeifel an der Unabhängigkeit der Ombudsperson und damit der Effiktivität eines wesentlichen Rechtsschutzinstituts des Privacy Shield. Die Ombudsperson ist direkt an das US-Außenministerium angegliedert und berichtet direkt dem US-Außenminister. Von einer Weisungsunabhängigkeit oder gar Sanktionsmöglichkeiten, die die Ombudsperson durchsetzen könnte, ist im Privacy Shield keine Rede.

Intransparente Rechtsschutzmöglichkeiten für EU-Bürger

Die Rechtsschutzmöglichkeiten für EU-Bürger gegen Datenschutzverstöße in den USA sind keineswegs so transparent, wie sie von der Kommission dargestellt werden. Vor allem ist in letzter Instanz - wenn Beschwerden bei den offiziellen Stellen wie US-Unternehmen selbst, EU-Beschwerdestelle oder Ombudsperson nichts bringen - ein komplexes Schiedsverfahren durchzuführen, das in den USA und in englischer Sprache zu führen ist und und dessen Kosten jede Partei selbst zu tragen hat. Dies ist ein nicht unwesentliches Hindernis in der Praxis, überhaupt gegen Datenschutzverstöße vorzugehen.

Ausblick

Gleichwohl sind die neuen Rechtsschutzmechanismen ein Schritt in die richtige Richtung. Es verbleiben aber Zweifel, ob das neue Datenschutzabkommen den Prüfstand der europäischen Gerichte EuG oder EuGH bestehen wird und nicht genauso wie Safe Harbor durchfallen muss. Bis es zu einer neuen gerichtlichen Überprüfung kommt, können sich Unternehmen auf das Privacy Shield als neue Rechtsgrundlage für den transatlantischen Datenverkehr verlassen. Dies ist zumindest aus Praxissicht zu begrüßen.


Hinweis in eigener Sache: Rechtsanwalt Christian Galetzka wird auf der diesjährigen Herbstakademie in Hamburg (14.-17.09.2016) einen Fachvortrag zum Privacy Shield halten. Der dem Vortrag zugrundeliegende wissenschaftliche Fachbeitrag wird im Tagungsband der Herbstakademie erscheinen.


SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30