Ein Gastbeitrag von Hannfried Leisterer
Die Europäische Kommission hat am Dienstag dieser Woche bekannt gegeben, dass sie sich mit den USA auf ein neues Datenschutzabkommen einigen konnte. Das neue Abkommen trägt die Bezeichnung „EU-US Privacy Shield” und soll die vom Europäischen Gerichtshof (EuGH) 2015 für rechtswidrig erklärte Safe-Harbor-Regelung ersetzen.
„Safe Harbor” hatte bis zur Entscheidung des EuGH als Grundlage dafür gedient, dass die persönlichen Daten von Bürgern der europäischen Union in den USA verarbeitet werden konnten. Der EuGH entzog der Datenübermittlung aber diese Grundlage, insbesondere weil die Daten durch die weitgehende US-Sicherheitsgesetzgebung nicht ausreichend geschützt seien. Als Folge des Urteils mussten sowohl die EU als auch die USA eine neue Regelung vereinbaren, um zu verhindern, dass der Informationsaustausch eingeschränkt werden muss. Die EU-Datenschützer hatten der Kommission bis Ende Januar eine Frist gesetzt, ein neues Abkommen auszuhandeln.
Der neue Rechtsrahmen soll strengere Pflichten für US-amerikanische Unternehmen und eine stärkere Aufsicht durch das US-Handelsministerium und die Federal Trade Commission (FTC) vorsehen. Die Kooperation mit den europäischen Datenschutzbehörden soll verbessert und der Zugriff der US-Behörden durch klare Voraussetzungen, Begrenzungen und Kontrolle geregelt werden. Unionsbürger sollen sich bei Datenschutzverletzungen an eine Ombudsperson wenden können, um Datenschutz auch unter US-Recht besser durchsetzen zu können.
Die Kommission hat nun allerdings lediglich eine mündliche Einigung über das Nachfolgeabkommen zu Safe Harbor verkündet. Einen schriftlichen Entwurf hat sie bislang nicht vorgelegt. Der eigentliche Text muss erst noch ausgearbeitet werden.
Ob der „Schutzschild” wirklich hält, hängt deshalb nun maßgeblich von den genauen Formulierungen des „EU-US Privacy Shield” ab. Letztlich wird sich das Datenschutzniveau nur verbessern, wenn es in den USA tatsächlich zu Gesetzesänderungen kommt. Andernfalls kann eine Einigung über ein Nachfolgeabkommen bestenfalls als vertrauensbildende Maßnahme gesehen werden, deren Bestand vor dem EuGH jedoch unklar ist.
Der Digitalverband Bitkom hat die Einigung zwischen der EU-Kommission und der US-Regierung als einen wichtigen Schritt zu mehr Rechtssicherheit für Unternehmen begrüßt. Die Datenschutzbehörden hingegen tendierten von vornherein zu der Auffassung, dass auch alternative Übermittlungsinstrumente die im Urteil des EuGH angedeuteten rechtsstaatlichen Defizite nicht kompensieren könnten. Auch zur Nachfolgeregelung zeigten sie sich skeptisch.
Es wird nach Auffassung der Datenschutzbehörden sehr genau zu prüfen sein, ob die neue Vereinbarung tatsächlich die Kriterien für eine rechtskonforme Datenübermittlung erfüllt. Bislang bestehen in einigen Punkten, die die EU-Datenschutzbehörden als wesentlich für ein angemessenes Datenschutzniveau betrachten, weiterhin Differenzen. Daher wird die politische Einigung lediglich als Signal bewertet, das die Unternehmen beruhigen und die Datenschützer milde stimmen soll.
Der EU-US Privacy Shield ist bislang nur im Stadium einer politischen Einigung, sodass weiterhin keine rechtliche Sicherheit für Bürger und Unternehmen besteht. Entscheidend kommt es nun darauf an, die tatsächlichen Rechtstexte so zu gestalten, dass sie den europäischen Anforderungen gerecht werden. Als problematisch für die weiteren Verhandlungen erweist sich hier der kürzlich in den USA verabschiedete “Cybersecurity Act”. Dieses Gesetz erlaubt es den Unternehmen, den Behörden weitreichend personenbezogene Daten zu übermitteln.
Ein formelles Gesetzgebungsverfahren mit Zustimmung des Parlaments wird es auf europäischer Seite im Übrigen nicht geben. Die Kommission wird die rechtlich geforderte „Angemessenheit des Datenschutzniveaus” in den USA – wie bei Safe Harbor – im Wege einer Entscheidung festlegen. Die Arikel-29-Datenschutzgruppe (WP29) wird der Kommission beratend zur Seite stehen, hat aber bereits angekündigt, auch die noch bestehenden rechtlichen Mechanismen für einen Datentransfer wie den Standardvertragsklauseln und den Binding Corporate Rules einer Prüfung zu unterziehen.
Die Pressemitteilung der EU-Kommission.
Die Pressemitteilung der EU-Datenschutzbehörden (WP 29).
Die Telemedicus-Themenseite zu „Safe Harbor”.
Hannfried Leisterer studierte Rechtswissenschaft an der Freien Universität und Humboldt-Universität zu Berlin. Sein Schwerpunktstudium absolvierte er im Bereich Europarecht und Internationales Recht mit Arbeiten zum Kartellrecht und Datenschutz. Leisterer war DFG-Forschungsstudierender am Graduiertenkolleg «Verfassung jenseits des Staates». Seit Oktober 2013 ist Hannfried Leisterer im Doktorandenkolleg des Alexander von Humboldt-Instituts für Internet und Gesellschaft. Als Mitglied des Kompetenznetzwerks für das Recht der zivilen Sicherheit in Europa (KORSE) arbeitet er an seiner Dissertation zum Thema Sicherheit kritischer Informationsinfrastrukturen in Europa.