Auswirkungen der Aufkündigung von Privacy Shield
Der Facebook-Skandal und den Datenmissbrauch durch Cambridge Analytica hat möglicherweise noch weiterreichende Konsequenzen als bislang gedacht. Das EU-Parlament will von der EU-Kommission verlangen, das Abkommen neu zu verhandeln oder auszusetzen. Dafür hat das Parlament am 5. Juli gestimmt. Die USA sollen danach Zeit bis zum 1. September haben, um die europäischen Anforderungen an den Datenschutz zu erfüllen. Was, wenn es dazu nicht kommt und das Privacy Shield ausgesetzt wird? Bedeutet das, dass wir keine personenbezogenen Daten mehr an Google, Facebook und Amazon schicken könnten?
Die Abgeordneten des EU-Parlaments haben beschlossen, die EU-Kommission aufzufordern, den EU-US-Datenschutzschild auszusetzen, wenn die USA die EU-Datenschutzvorschriften nicht bis zum 1. September 2018 einhalten. Derzeit biete er den EU-Bürgern keinen ausreichenden Datenschutz. Die Resolution wurde am 5. Juli mit 303 zu 223 Stimmen bei 29 Enthaltungen verabschiedet. Die Abgeordneten fügen hinzu, dass die Vereinbarung ausgesetzt bleiben sollte, bis die US-Behörden ihre Bedingungen vollständig erfüllen.
Die Resolution lautet: „Das Parlament bedauert, dass die Kommission und die zuständigen US-Behörden die Gespräche über die Datenschutzregelung nicht wieder aufgenommen und keinen Aktionsplan aufgestellt haben, um die festgestellten Mängel so bald wie möglich zu beheben, wie es die Artikel 29 Arbeitsgruppe in ihrem Bericht vom Dezember über die gemeinsame Überprüfung gefordert hat; Das Parlament fordert die Kommission und die zuständigen US-Behörden auf, dies unverzüglich zu tun.“
Diese Resolution mache deutlich, dass der Privacy Shield in seiner jetzigen Form nicht das angemessene Schutzniveau biete, welches das EU-Datenschutzrecht und die EU-Charta vorschreiben. Die Fortschritte bei der Verbesserung des Safe Harbor-Abkommens reichten nicht aus, um die für die Übermittlung personenbezogener Daten erforderliche Rechtssicherheit zu gewährleisten, so der Berichterstatter Moraes. Nach Datenverstößen wie dem Facebook- und Cambridge-Analytica-Skandal sei es wichtiger denn je, das Grundrecht auf Datenschutz zu schützen und das Vertrauen der Verbraucher zu sichern. Das Gesetz sei klar und – wie in der DSGVO dargelegt – wenn das Abkommen nicht ausreiche, die US-Behörden seine Bedingungen nicht einhalten, müsse es ausgesetzt werden, bis sie es tun.
Das Privacy Shield ist ein Abkommen zwischen den USA und der EU, das es US-Unternehmen, die über ein angemessenes Datenschutzniveau verfügen, ermöglicht, personenbezogene Daten von der EU in die USA zu übermitteln. Es ist derzeit die zentrale Grundlage für den transatlantischen Datenverkehr.
Das Privacy Shield-Abkommen ist der rechtskonforme Nachfolger des sogenannten Safe-Harbor-Abkommens. Der Europäische Gerichtshof hatte mit Urteil vom 06.10 2015 (Az. C-362/14) entschieden, dass das Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. 2016 ist es dann mit dem Privacy Shield-Abkommen zu einem neuen Datenschutzabkommen zwischen Europa und den USA gekommen. Dessen endgültige Fassung hat die Kommission am 12.07.2016 offiziell als sog. Angemessenheitsbeschluss nach Art. 45 Datenschutzgrundverordnung (DSGVO) verabschiedet. Unter anderem sichern die USA zu, ihre Massenüberwachung auf sechs recht offen Bereiche zu beschränken. Zudem stellt das US-Außenministerium eine Ombudsperson zur Verfügung, die bei Datenschutzbeschwerden aus Europa schlichten soll.
Bei dem Privacy Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen. Zu dessen Einhaltung können sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy Shield-Liste des US-Handelsministeriums verpflichten.
Konkret verpflichten sich die teilnehmenden US-Unternehmen dazu, die Regeln und Prozesse des Abkommens einzuhalten. Dann kann der Transfer personenbezogener Daten der Europäer auch ohne besondere Genehmigung erfolgen. Halten sie die Regeln nicht ein, können sie nach US-Recht dafür belangt werden.
Die Übermittlung personenbezogener Daten in die USA haben Datenschützer nicht erst seit dem Privacy Shield-Abkommen massiv kritisiert. Gleich mehrere Anlässe haben nun den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) dazu veranlasst, einen Resolutionsvorschlag zu dem Abkommen zu befürworten, in der das Abkommen als datenschutzrechtlich unzulässig kritisiert wurde. Die personenbezogenen Daten der EU-Bürger seien nicht ausreichend geschützt. Mit einer knappen Mehrheit wurde Entschließung angenommen.
Dieser Vorschlag wird nun dem EU-Parlament unterbreitet, das noch im Juli darüber entscheiden soll. Ziel des LIBE ist es, dass das Parlament die EU-Kommission durch den Beschluss auffordert, das Privacy Shield entweder in Abstimmung mit den USA zu überarbeiten oder ab dem 1. September auszusetzen. Am 5. Juli stimmte das EU-Parlament über den Fortbestand des Privacy Shields über den inzwischen veröffentlichten Entschließungsantrag ab.
Doch ein solcher Beschluss des EU-Parlaments wäre nicht verbindlich für die Kommission. Sie kann letztlich selbst entscheiden. Tatsächlich ist es auch gar nicht so wahrscheinlich, dass die Kommission für eine Neuverhandlung votieren wird. Denn das Privacy Shield wird einmal jährlich überprüft und die Kommission hat das Abkommen letzten Herbst trotz der Mängel durchgewunken. Die Privatsphäre der EU-Bürger sei ausreichend geschützt. Zudem gelten entsprechende Nachverhandlungen unter der Trump-Regierung als quasi unmöglich.
Möglich wäre aber immer noch eine erneute Aufhebungsentscheidung vom EuGH. Ein entsprechendes Verfahren ist bereits vor dem Gerichtshof anhängig. Denn in dem bereits jahrelang andauernden Rechtsstreit zwischen Max Schrems und Facebook prüft der EuGH auch die Wirksamkeit des Privacy Shields. Ein Urteil, dass das EU-US Privacy Shield kippt, gilt als nicht unwahrscheinlich.
Die Liste der Kritikpunkte an dem Abkommen ist lang. Hier ein Auszug aus der Mängelliste:
• Es könne nicht festgestellt werden, dass die US-Behörden nicht weiter massenhaft personenbezogene Daten von EU-Bürgern sammeln. Die entsprechenden Zusagen der Trump-Regierung gingen nicht weit genug.
• Das Abkommen laufe sowohl der DSGVO als auch der EU-Grundrechtecharta zuwider, weil es den Bürgern keine ausreichenden Sicherheiten im Hinblick auf den Datenschutz biete.
• Nach dem Skandal um Facebook und Cambridge Analytica könne man sich nicht mehr sicher sein, dass die Zertifizierung nach dem Abkommen vertrauenswürdig sei. Schließlich seien diese Unternehmen auch nach dem Privacy Shield zertifiziert gewesen. Firmen, die Daten missbrauchten müssten aber nicht nur besser überwacht werden. Eigentlich müssten die US-Behörden sie auch von der Privacy-Shield-Liste streichen. Zudem sollten auch die EU-Behörden solche Fälle untersuchen und ggf. Datenübertragungen aussetzen bzw. verbieten.
• Die USA haben auch noch keine permantente sog. Ombudsperson benannt, die für Beschwerden von EU-Bürgern zuständig sein soll. Der jetzige Interimsbeauftragte gilt als nicht unabhängig. Zudem wird das ganze Verfahren als ineffizient kritisiert.
• Das Privacy Shield Abkommen ist weiterhin nicht bindend und bietet nicht den gleichen Schutz wie ein bindendes völkerrechtliches Abkommen. Auch müssten US-Unternehmen eigentlich verpflichtet sein, sich zu zertifizieren.
• Gefährlich werden könnte auch der seit März erlassene US-„Clarifying Lawful Overseas Use of Data (CLOUD) Act“. Dieses Gesetz der Trump-Regierung erlaubt US- Justiz- und Strafverfolgungsbehörden den Zugang zu personenbezogenen Daten über Grenzen hinweg. Software- und Diensteanbieter sind dazu verpflichtet, den Behörden Zugriff auf außerhalb der USA gespeicherte Daten von US-Bürgern zu gewähren. Dieses Gesetz könnte massive Auswirkungen auf den Datenschutz in der EU haben und sich letztlich als DSGVO-widrig herausstellen.
Der Datentransfer in die USA würde zwar nicht unmöglich gemacht, aber massiv erschwert. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt.
Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen. Als in der Praxis besonders gut umsetzbar gelten dabei die sog. EU-Standarddatenschutzklauseln. Google, Amazon, Microsoft und weitere große US-Anbieter stellen entsprechende Vereinbarungen online zur Verfügung. Doch Vorsicht: Selbst die Standarddatenschutzklauseln der EU stehen im EuGH-Verfahren Schrems gegen Facebook in der Kritik und könnten für unwirksam erklärt werden.
Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des eng auszulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.
Der Artikel ist auch auf wbs-law.de erschienen.
Die Abgeordneten des EU-Parlaments haben beschlossen, die EU-Kommission aufzufordern, den EU-US-Datenschutzschild auszusetzen, wenn die USA die EU-Datenschutzvorschriften nicht bis zum 1. September 2018 einhalten. Derzeit biete er den EU-Bürgern keinen ausreichenden Datenschutz. Die Resolution wurde am 5. Juli mit 303 zu 223 Stimmen bei 29 Enthaltungen verabschiedet. Die Abgeordneten fügen hinzu, dass die Vereinbarung ausgesetzt bleiben sollte, bis die US-Behörden ihre Bedingungen vollständig erfüllen.
Die Resolution lautet: „Das Parlament bedauert, dass die Kommission und die zuständigen US-Behörden die Gespräche über die Datenschutzregelung nicht wieder aufgenommen und keinen Aktionsplan aufgestellt haben, um die festgestellten Mängel so bald wie möglich zu beheben, wie es die Artikel 29 Arbeitsgruppe in ihrem Bericht vom Dezember über die gemeinsame Überprüfung gefordert hat; Das Parlament fordert die Kommission und die zuständigen US-Behörden auf, dies unverzüglich zu tun.“
Diese Resolution mache deutlich, dass der Privacy Shield in seiner jetzigen Form nicht das angemessene Schutzniveau biete, welches das EU-Datenschutzrecht und die EU-Charta vorschreiben. Die Fortschritte bei der Verbesserung des Safe Harbor-Abkommens reichten nicht aus, um die für die Übermittlung personenbezogener Daten erforderliche Rechtssicherheit zu gewährleisten, so der Berichterstatter Moraes. Nach Datenverstößen wie dem Facebook- und Cambridge-Analytica-Skandal sei es wichtiger denn je, das Grundrecht auf Datenschutz zu schützen und das Vertrauen der Verbraucher zu sichern. Das Gesetz sei klar und – wie in der DSGVO dargelegt – wenn das Abkommen nicht ausreiche, die US-Behörden seine Bedingungen nicht einhalten, müsse es ausgesetzt werden, bis sie es tun.
Was ist das Privacy-Shield-Abkommen?
Das Privacy Shield ist ein Abkommen zwischen den USA und der EU, das es US-Unternehmen, die über ein angemessenes Datenschutzniveau verfügen, ermöglicht, personenbezogene Daten von der EU in die USA zu übermitteln. Es ist derzeit die zentrale Grundlage für den transatlantischen Datenverkehr.
Das Privacy Shield-Abkommen ist der rechtskonforme Nachfolger des sogenannten Safe-Harbor-Abkommens. Der Europäische Gerichtshof hatte mit Urteil vom 06.10 2015 (Az. C-362/14) entschieden, dass das Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. 2016 ist es dann mit dem Privacy Shield-Abkommen zu einem neuen Datenschutzabkommen zwischen Europa und den USA gekommen. Dessen endgültige Fassung hat die Kommission am 12.07.2016 offiziell als sog. Angemessenheitsbeschluss nach Art. 45 Datenschutzgrundverordnung (DSGVO) verabschiedet. Unter anderem sichern die USA zu, ihre Massenüberwachung auf sechs recht offen Bereiche zu beschränken. Zudem stellt das US-Außenministerium eine Ombudsperson zur Verfügung, die bei Datenschutzbeschwerden aus Europa schlichten soll.
Bei dem Privacy Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen. Zu dessen Einhaltung können sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy Shield-Liste des US-Handelsministeriums verpflichten.
Konkret verpflichten sich die teilnehmenden US-Unternehmen dazu, die Regeln und Prozesse des Abkommens einzuhalten. Dann kann der Transfer personenbezogener Daten der Europäer auch ohne besondere Genehmigung erfolgen. Halten sie die Regeln nicht ein, können sie nach US-Recht dafür belangt werden.
Was ist passiert?
Die Übermittlung personenbezogener Daten in die USA haben Datenschützer nicht erst seit dem Privacy Shield-Abkommen massiv kritisiert. Gleich mehrere Anlässe haben nun den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) dazu veranlasst, einen Resolutionsvorschlag zu dem Abkommen zu befürworten, in der das Abkommen als datenschutzrechtlich unzulässig kritisiert wurde. Die personenbezogenen Daten der EU-Bürger seien nicht ausreichend geschützt. Mit einer knappen Mehrheit wurde Entschließung angenommen.
Dieser Vorschlag wird nun dem EU-Parlament unterbreitet, das noch im Juli darüber entscheiden soll. Ziel des LIBE ist es, dass das Parlament die EU-Kommission durch den Beschluss auffordert, das Privacy Shield entweder in Abstimmung mit den USA zu überarbeiten oder ab dem 1. September auszusetzen. Am 5. Juli stimmte das EU-Parlament über den Fortbestand des Privacy Shields über den inzwischen veröffentlichten Entschließungsantrag ab.
Doch ein solcher Beschluss des EU-Parlaments wäre nicht verbindlich für die Kommission. Sie kann letztlich selbst entscheiden. Tatsächlich ist es auch gar nicht so wahrscheinlich, dass die Kommission für eine Neuverhandlung votieren wird. Denn das Privacy Shield wird einmal jährlich überprüft und die Kommission hat das Abkommen letzten Herbst trotz der Mängel durchgewunken. Die Privatsphäre der EU-Bürger sei ausreichend geschützt. Zudem gelten entsprechende Nachverhandlungen unter der Trump-Regierung als quasi unmöglich.
Möglich wäre aber immer noch eine erneute Aufhebungsentscheidung vom EuGH. Ein entsprechendes Verfahren ist bereits vor dem Gerichtshof anhängig. Denn in dem bereits jahrelang andauernden Rechtsstreit zwischen Max Schrems und Facebook prüft der EuGH auch die Wirksamkeit des Privacy Shields. Ein Urteil, dass das EU-US Privacy Shield kippt, gilt als nicht unwahrscheinlich.
Welche Kritikpunkte hat der EU-Parlamentsausschuss?
Die Liste der Kritikpunkte an dem Abkommen ist lang. Hier ein Auszug aus der Mängelliste:
• Es könne nicht festgestellt werden, dass die US-Behörden nicht weiter massenhaft personenbezogene Daten von EU-Bürgern sammeln. Die entsprechenden Zusagen der Trump-Regierung gingen nicht weit genug.
• Das Abkommen laufe sowohl der DSGVO als auch der EU-Grundrechtecharta zuwider, weil es den Bürgern keine ausreichenden Sicherheiten im Hinblick auf den Datenschutz biete.
• Nach dem Skandal um Facebook und Cambridge Analytica könne man sich nicht mehr sicher sein, dass die Zertifizierung nach dem Abkommen vertrauenswürdig sei. Schließlich seien diese Unternehmen auch nach dem Privacy Shield zertifiziert gewesen. Firmen, die Daten missbrauchten müssten aber nicht nur besser überwacht werden. Eigentlich müssten die US-Behörden sie auch von der Privacy-Shield-Liste streichen. Zudem sollten auch die EU-Behörden solche Fälle untersuchen und ggf. Datenübertragungen aussetzen bzw. verbieten.
• Die USA haben auch noch keine permantente sog. Ombudsperson benannt, die für Beschwerden von EU-Bürgern zuständig sein soll. Der jetzige Interimsbeauftragte gilt als nicht unabhängig. Zudem wird das ganze Verfahren als ineffizient kritisiert.
• Das Privacy Shield Abkommen ist weiterhin nicht bindend und bietet nicht den gleichen Schutz wie ein bindendes völkerrechtliches Abkommen. Auch müssten US-Unternehmen eigentlich verpflichtet sein, sich zu zertifizieren.
• Gefährlich werden könnte auch der seit März erlassene US-„Clarifying Lawful Overseas Use of Data (CLOUD) Act“. Dieses Gesetz der Trump-Regierung erlaubt US- Justiz- und Strafverfolgungsbehörden den Zugang zu personenbezogenen Daten über Grenzen hinweg. Software- und Diensteanbieter sind dazu verpflichtet, den Behörden Zugriff auf außerhalb der USA gespeicherte Daten von US-Bürgern zu gewähren. Dieses Gesetz könnte massive Auswirkungen auf den Datenschutz in der EU haben und sich letztlich als DSGVO-widrig herausstellen.
Wenn das Privacy Shield kippt – können wir dann überhaupt noch Daten in die USA transferieren?
Der Datentransfer in die USA würde zwar nicht unmöglich gemacht, aber massiv erschwert. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt.
Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen. Als in der Praxis besonders gut umsetzbar gelten dabei die sog. EU-Standarddatenschutzklauseln. Google, Amazon, Microsoft und weitere große US-Anbieter stellen entsprechende Vereinbarungen online zur Verfügung. Doch Vorsicht: Selbst die Standarddatenschutzklauseln der EU stehen im EuGH-Verfahren Schrems gegen Facebook in der Kritik und könnten für unwirksam erklärt werden.
Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des eng auszulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.
Der Artikel ist auch auf wbs-law.de erschienen.