Rechtsrahmen für Datenexporte in die USA "EU-U.S. Privacy Shield" ersetzt Safe Harbor

"EU-U.S. Privacy Shield" ersetzt Safe Harbor: Professor Dr. Rolf Schwartmann stellt die Neuerungen vor. (Bild: Thinkstock)

Das Urteil des Europäischen Gerichtshofs (EuGH) zu Safe Harbor stellt den transatlantischen Datenverkehr vor große Herausforderungen. Mit Verkündung des Urteils waren Datenexporte in die USA im Oktober 2015 quasi über Nacht als illegal einzustufen und unverzüglich zu stoppen.

Die europäischen und nationalen Aufsichtsbehörden waren versucht, weitere Rückschlüsse aus den Entscheidungsgründen des EuGH zu ziehen und erließen in der Folge eine Vielzahl behördlicher Stellungnahmen. Erst die Artikel-29-Datenschutzgruppe auf europäischer Ebene sowie die Konferenz der Datenschutzbeauftragten von Bund und Länder auf nationaler Ebene vermochten Datenverarbeitern eine konsolidierte Meinung zu den Folgen des Safe Harbor Urteils vermitteln.

Am 2. Februar 2016 stellte die EU-Kommission in einer Presseerklärung eine Einigung zwischen der EU-Kommission und den Vereinigten Staaten vor. Das "EU-U.S. Privacy Shield" war geboren und wurde und in seinen ersten Eckpunkten vorgestellt [1]. Am 29. Februar 2016 veröffentlichte die EU-Kommission rechtsverbindliche Inhalte des neuen EU-U.S. Privacy Shield als Nachfolgeinstrument zu Safe Harbor. Auch dessen Ziel soll es sein, ein angemessenes Datenschutzniveau bei Datenempfängern in den USA zu gewährleisten, die sich nach den Vorgaben des EU-U.S. Privacy Shield ("EU-U.S. Privacy Shield Framework Principles") zertifiziert haben.

Es wurden auf Basis der bereits 2013 durch die Kommission selbst vorgeschlagenen Empfehlungen zur Verbesserung von Safe Harbor [2] und den Entscheidungsgründen des EuGH die Anforderungen an zertifizierte Datenverarbeiter in den USA erhöht. Dabei tritt hinsichtlich des Anwendungsbereichs des Privacy Shield zunächst keine Neuerung ein: Nur zertifizierte Unternehmen in den USA sollen demnach in den Genuss europäischer Daten kommen. 

1. Was ist das "EU-U.S. Privacy Shield"?

Was bringt das "Datenschutzschild" neues?

a) Transparenz durch Selbstzertifizierung im Anzeigeverfahren
Wie Safe-Harbor baut das Privacy-Shield auf eine Selbstzertifizierung von datenschutzwilligen Unternehmen. Sie erfolgt durch eine Erklärung gegenüber dem US-Handelsministerium und bedarf einer jährlichen Aktualisierung. Neu ist die Publizität von Zertifizierungen, die in der Vergangenheit nicht ausreichend gewährleistet war: Das US-Handelsministerium soll nunmehr ein Register führen, das neben bestehenden Zertifizierungen auch unwirksame beziehungsweise entzogene Zertifikate sowie den diesbezüglichen Grund aufführt (Erwägungsgrund 24 und 39 der Angemessenheitsentscheidung im Entwurf [3]). Anhängige Verfahren bei der Federal Trade Commission (FTC) als einem Organ der Aufsicht über das Privacy Shield,  so beispielsweise aufgrund eines Verstoßes gegen die Vorgaben, werden über das Register ebenfalls kommuniziert.

Dauerhafte Verstöße gegen die Vorgaben des Privacy Shield führen nicht nur zur Entfernung aus dem Register aktueller Zertifizierungen sondern  sie verpflichten zur Löschung aller unter dem Privacy Shield empfangenen Daten (Erwägungsgrund 26). In anderen Fällen, die zu einem Entzug einer Zertifizierung führen, kann eine Stelle die empfangenen Daten weiterhin verarbeiten. Voraussetzung ist aber, dass sie gegenüber dem US-Handelsministerium erklärt, dass diese Daten weiterhin nach den Vorgaben der Privacy Shield Principles oder mithilfe alternativer anerkannter Werkzeuge zur Herstellung eines angemessenen Datenschutzniveaus (zum Beispiel EU-Standardvertragsklauseln), geschützt werden.

Die unrichtige Kommunikation einer gültigen Zertifizierung wird durch die Datenschutzaufsicht verfolgt. Um enger überwachen zu können, soll das Handelsministerium proaktiv kontrollieren, ob die Datenschutzerklärung des "ausgeschiedenen" Unternehmens keine Bezüge zum Privacy Shield mehr enthält (Erwägungsgrund 28).

Über Fragebögen soll sichergestellt werden, dass empfangene Daten nach Privacy Shield gelöscht werden beziehungsweise freiwillig nach dessen Vorgaben oder alternativer anerkannter Angemessenheitswerkzeuge geschützt sind.

b) Beschwerden gegen Datenschutzverstöße
Bereits unter Safe Harbor mussten US-Datenverarbeiter Beschwerdeverfahren zugunsten von Betroffenen einrichten. Beschwerden sind nunmehr innerhalb einer Frist von 45 Tagen durch den Datenverarbeiter durch  Antwort an den Betroffenen zu beantworten. Auch die Streitschlichtung wird umgestaltet.

Es ist eine unabhängige Stelle zu involvieren, die neben kostenfreien Abhilfemaßnahmen zugunsten des Betroffenen einen jährlichen Bericht zu veröffentlichen hat und die Anzahl der Fälle, die Länge ihrer Bearbeitung und deren Ergebnis benennen muss.

c) Die Wirksamkeit der Maßnahmen überprüft der Datenverarbeiter
Die Überprüfung der Wirksamkeit der Maßnahmen zur Einhaltung der Privacy-Shield-Prinzipien obliegt weiterhin jedem Datenverarbeiter selbst. Er muss interne Audits durchführen oder Dritte mit der Überprüfung beauftragt. Daneben soll das Handelsministerium eine zusätzliche Kontrolle der Einhaltung der Vorgaben durch die Versendung entsprechender Fragebögen durchführen. Dies kann anlassunabhängig erfolgen oder beispielsweise auf Basis der Eingabe eines Betroffenen (Erwägungsgrund 35).

d) Angemessenes Datenschutzniveau soll bald festgelegt werden
Unter den verbindlichen Dokumenten zum Privacy Shield findet sich auch ein Entwurf für eine Angemessenheitsentscheidung der Kommission zur Gewährleistung eines angemessenen Datenschutzniveaus. Gem. Art. 25 Abs. 6 der EU-Datenschutzrichtlinie 95/46/EG kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Ziel der Kommission ist es, allen Stellen in den USA, die sich den Vorgaben des Privacy Shield über eine Zertifizierung unterwerfen, ein angemessenes Datenschutzniveau zu attestieren. Eine Genehmigung der Aufsichtsbehörde für den Datenexport wäre dann nicht mehr erforderlich.

Diese Angemessenheitsentscheidung muss erst der Artikel-29-Gruppe zur Stellungnahme weitergeleitet werden und sodann das sog. Ausschussverfahren nach Art. 31 Abs. 2 der Richtline 95/46/EG zu durchlaufen. Erst danach können Datenübermittlungen in die USA auf Basis des EU-U.S. Privacy Shield erfolgen.

2. Schicksal der EU-Standardvertragsklauseln/Binding Corporate Rules offen

Entgegen der Ankündigung der Artikel-29-Datenschutzgruppe wurden die alternativen Instrumente zur Herstellung eines angemessenen Datenschutzniveaus im Drittland noch keiner abschließenden Prüfung unterzogen. Durch die Veröffentlichung der Dokumente zum EU-U.S. Privacy Shield ist die Artikel-29-Gruppe dazu aufgefordert, hier eine abschließende Meinung abzugeben. In der Zwischenzeit hat jede verantwortliche Stelle zu prüfen, ob sie weiterhin von den alternativen Instrumenten Gebrauch machen möchte oder von einem Datenexport in die USA absieht. Teile der lokalen Aufsichtsbehörden drohen Durchsetzungsmaßnahmen bezüglich der Datenexporte an, die noch auf Basis von Safe Harbor erfolgen. [4] Es werden auch keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt. [5]

3. Das Verhältnis zum Datenschutz-Rahmenabkommen

Seit 2010 verhandelt die EU-Kommission über das erste Datenschutzabkommen mit den USA ("Data Protection Umbrella Agreement"). Hintergrund waren die Auseinandersetzungen um transatlantische Abkommen zur Übermittlung personenbezogener Daten in die USA, so beispielsweise bei Bankdaten bei SWIFT und Reisedaten bei den Passenger Name Records ("PNR"). Statt bei jeder neuen Datenübermittlung erneut über Datenschutzbestimmungen zu verhandeln, sollen datenschutzrechtliche Grundsätze erarbeitet werden, die für alle Abkommen im Bereich der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich des Terrorismus gelten. Vorgesehen ist hierbei, EU-Bürgern den gleichen Rechtsschutz wie US-Bürgern zu gewähren, wenn es zu einem Datenschutzverstoß gekommen ist. [6] In den Augen der Kommission soll das Rahmenabkommen jedoch weder eine Rechtsgrundlage für den transatlantischen Datenaustausch darstellen noch ein angemessenes Datenschutzniveau im Sinne des Art. 25 Abs. 6 der Richtlinie 95/46/EC bieten. Eine Einigung hinsichtlich des Datenschutz-Rahmenabkommens ist bis zum heutigen Tag jedoch noch nicht erfolgt. 

4. Obamas Zusatzsicherung - Privacy Council

Im Zuge verstärkter Aktivitäten rund um die Cybersicherheit hat US-Präsident Obama am 9. Februar 2016 per Exekutiverlass [7] die Einrichtung eines permanenten Datenschutzgremiums auf Bundesebene ("Federal Privacy Council") angekündigt, das die Datenschutzkoordinatoren in den jeweiligen Behörden ("Senior Agency Officials for Privacy") im Rahmen ihrer Tätigkeiten bei der Wahrung des Datenschutzes und seiner Durchsetzung unterstützen soll. Zu den Kernaufgaben des Datenschutzgremiums gehört sowohl  die Entwicklung und Koordinierung von Datenschutz-Vorgaben beziehungsweise Best Practices als auch die Analyse des Weiterentwicklungsbedarfs auf Regierungsebene. Die neuen Anforderungen an die Datenschutzkoordinatoren in den Behörden sollen innerhalb von 120 Tagen kommuniziert werden. Dann ist auch mit der Aufnahme der praktischen Arbeit des Datenschutzgremiums zu rechnen.

Der Autor

Prof. Dr. Rolf Schwartmann (Foto: Dörthe Boxberg)

[1] http://europa.eu/rapid/press-release_IP-16-216_en.htm
[2] http://europa.eu/rapid/press-release_MEMO-13-1059_de.htm
[3] Im Weiteren wird auf den Zusatz "Angemessenheitsentscheidung im Entwurf" verzichtet.
[4] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Aktueller Sachstand zu Safe Harbor (Februar 2016), abrufbar unter https://www.datenschutz-hamburg.de/news/detail/article/safe-harbor-aktueller-sachstand-im-februar-2016.html; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz, Pressemitteilung vom 10. Februar 2016, abrufbar unter https://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2016021001
[5] Konferenz der Datenschutzbehörden des Bundes und der Länder, Positionspapier zu Safe Harbor vom 26.10.2015, abrufbar unter www.datenschutz.hessen.de/ft-europa.htm
[6] Kritisch hierzu Juristischer Dienst des Europäischen Parlaments, Stellungnahme zum Rahmenabkommen vom 14.01.2016, abrufbar unter http://statewatch.org/news/2016/feb/ep-legal-opinion-umbrella.pdf
[7] https://www.whitehouse.gov/the-press-office/2016/02/09/executive-order-establishment-federal-privacy-council