Geschrieben am 13.03.2017 von:
Aufgrund neuster Entwicklungen besteht die Möglichkeit, dass der Transfer von Daten in die USA in Zukunft nicht mehr rechtssicher möglich sein wird. So will die irische Regierung die EU-Standardvertragsklauseln vom Europäischen Gerichtshof prüfen zu lassen. Außerdem hat der neue US-Präsident eine Executive Order erlassen, durch die das Privacy Shield-Abkommen ins Wanken geraten könnte.
Privacy Shield mit langer Vorgeschichte
Nach § 4b Abs. 2 BDSG ist eine Übermittlung von Daten an Stellen, die nicht innerhalb der europäischen Union oder im europäischen Wirtschaftraum liegen, nur zulässig, wenn die Stellen in den Drittländern ein angemessenes Datenschutzniveau gewährleisten und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Ob ein angemessenes Datenschutzniveau vorliegt, wird gem. § 4b Abs. 3 BDSG unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung von Bedeutung sind. Insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen zur Beurteilung herangezogen werden.
Grundsätzlich müsste also vor jeder Datenübertragung von personenbezogenen Daten in die USA eine solche Prüfung stattfinden. Da dies für Unternehmen kaum praktikabel ist, wurde in der Vergangenheit das Safe Harbour-Abkommen zwischen den USA und der EU geschlossen. Durch dieses Abkommen verpflichteten sich die teilnehmenden Unternehmen, dass bei ihnen in den USA für ein aus europäischer Sicht angemessenes Datenschutzniveau gesorgt wird. Der Europäische Gerichtshof erklärte dieses Abkommen jedoch für unwirksam, da tatsächlich kein angemessenes Datenschutzniveau bestand. Die EU und die USA schlossen daraufhin das Privacy Shield-Abkommen und versuchten so, die vom Europäischen Gerichtshof gerügten Lücken zu schließen. Aus dem Privacy Shield-Abkommen ergeben sich zahlreiche Pflichten für die knapp 1.555 teilnehmenden Unternehmen. Diese sind insbesondere:
- Informationspflicht („Notice“)
- Wahlmöglichkeit („Choice“)
- Verantwortlichkeit für Weitergabe („Onward Transfers“)
- Sicherheit („Security“)
- Datenintegrität und Zweckbindung („Data Integrity & Purpose Limitation“)
- Auskunftsrecht („Access“)
- Rechtsschutz, Durchsetzung und Haftung („Recourse, Enforcement & Liability“)
Neue Entwicklung ändert Ausgangsposition
Nun hat der neue US-Präsident eine Executive Order erlassen, die das Privacy Shield-Abkommen ins Wanken bringen könnte. Im Wege einer Executive Order kann zwar kein neues Gesetz erlassen werden. Es kann aber vorgeschrieben werden, wie sich die Behörden im Rahmen der bestehenden Gesetze zu verhalten haben. So wurde festgelegt, dass die Behörden datenschutzrechtliche Vorschriften nur noch in Bezug auf US-Bürger anwenden sollen.
Wenn nun also selbst das ohnehin schon eher schwach ausgeprägte US-Datenschutzrecht nur auf US-Bürger angewendet wird, dann erscheint es fraglich, wie die am Privacy Shield-Abkommen teilnehmenden Unternehmen für die Daten von EU-Bürgern ein mit der EU vergleichbares Datenschutzniveau gewährleisten wollen. Zwar versicherten die Behörden, dass die neue Executive Order keine Auswirkungen auf den Datenschutz für EU-Bürger haben wird. Ob dem tatsächlich so ist, wird sich spätestens bei der in Kürze anstehenden jährlichen Überprüfung der Vorgaben des Abkommens durch die EU-Kommission zeigen.
EU-Standardvertragsklauseln als Alternative?
Es gibt noch eine weitere Variante, die Übertragung von Daten in Drittstaaten möglich zu machen. Durch die Verwendungen der sogenannten EU-Standardvertragsklauseln können einzelne europäische und ausländische Unternehmen individuell regeln, dass die europäischen Datenschutzbestimmungen bei einer Datenübertragung auf beiden Seiten eingehalten werden. Wird ein solcher Vertrag geschlossen, wird bisher von einem angemessenen Datenschutzniveau im Drittland ausgegangen. Es werden aber auch immer wieder Stimmen laut, die die Wirksamkeit dieser Standardvertragsklauseln anzweifeln.
Die irische Regierung will daher nun vor dem irischen High Court klären lassen, ob die Standardvertragsklauseln eine ausreichende Grundlage für die Datenübertragung in Drittländer sind. Der High Court wird diese Frage wohl dem Europäischen Gerichtshof zur endgültigen Klärung vorlegen. Die irische Regierung erhofft sich so endgültige Rechtssicherheit, wenn es darum geht, ein angemessenes Datenschutzniveau in Drittländern nachzuweisen.
Zukunftsträchtige Entscheidungen stehen bevor
Dass dieses Verfahren ausgerechnet in Irland seinen Ursprung hat, ist kein Zufall. Facebook hat dort seinen Europasitz und nimmt täglich unzählige Datentransfers in die USA vor. Facebook selbst teilte in einem Statement mit, dass es die Standardvertragsklauseln für ausreichend erachtet. Die Klauseln sind nach Ansicht des Unternehmens auch elementar für die internationale Wirtschaft und müssen daher unbedingt weiter genutzt werden können.
Wie der Europäische Gerichtshof entscheiden wird, ist noch nicht abzusehen. Klar ist jedenfalls, dass Transfers von Daten in die USA und andere Drittländer vorerst mit einem hohen Risiko behaftet sind.