EU-US Privacy Shield

Die Europäische Kommission hat am 02.02.2016 bekannt gegeben, dass sie sich mit den USA auf ein neues Datenschutzabkommen einigen konnte. Das neue Abkommen trägt die Bezeichnung “EU-US Privacy Shield” und soll die vom Europäischen Gerichtshof (EuGH) 2015 für rechtswidrig erklärte Safe-Harbor-Regelung ersetzen. Diese Regelung diente bis zur Entscheidung des EuGH als Grundlage dafür, dass die persönlichen Daten von Bürgern der europäischen Union in den USA verarbeitet werden konnten. Der EuGH entzog der Datenübermittlung die Grundlage, insbesondere weil die Daten durch die weitgehende US-Sicherheitsgesetzgebung nicht ausreichend geschützt seien. Als Folge des Urteils mussten sowohl die EU als auch die USA eine neue Regelung vereinbaren, um zu verhindern, dass der Informationsaustausch eingeschränkt werden muss. Die EU-Datenschützer hatten der Kommission bis Ende Januar eine Frist gesetzt, ein neues Abkommen auszuhandeln.

Was ist neu?

Der neue Rechtsrahmen soll strengere Pflichten für US-amerikanische Unternehmen und eine stärkere Aufsicht durch das US-Handelsministerium und die Federal Trade Commission (FTC) vorsehen. Die Kooperation mit den europäischen Datenschutzbehörden soll verbessert und der Zugriff auf Daten durch US-amerikanische Behörden soll durch klare Voraussetzungen, Begrenzungen und Kontrolle geregelt werden. Unionsbürger sollen sich bei Datenschutzverletzungen an eine Ombudsperson wenden können, um Datenschutz auch unter US-amerikanischen Recht besser durchsetzen zu können.

Die Kommission hatte allerdings lediglich eine mündliche Einigung über das Nachfolgeabkommen zu Safe Harbor verkündet. Ein schriftlicher Entwurf wurde bislang noch nicht vorgelegt. Der eigentliche Text muss erst noch ausgearbeitet werden. Ob der Schutzschild wirklich hält, hängt maßgeblich von den genauen Formulierungen des EU-US Privacy Shield ab. Letztlich wird sich das Datenschutzniveau nur verbessern, wenn es in den USA tatsächlich zu Gesetzesänderungen kommt. Andernfalls kann eine Einigung über ein Nachfolgeabkommen bestenfalls als vertrauensbildende Maßnahme gesehen werden, deren Bestand vor dem EuGH jedoch unklar ist.

Kritik

Der Digitalverband Bitkom begrüßte die Einigung zwischen der EU-Kommission und der US-Regierung als einen wichtigen Schritt zu mehr Rechtsssicherheit für Unternehmen.Die Datenschützer hingegen tendierten von vornherein zu der Auffassung, dass auch alternative Übermittlungsinstrumente die im Urteil des EuGH angedeuteten rechtsstaatlichen Defizite nicht kompensieren könnten. Auch zur Nachfolgeregelung zeigten sie sich skeptisch. Es würde sehr genau zu prüfen sein, ob die neue Vereinbarung tatsächlich die Kriterien für eine rechtskonforme Datenübermittlung erfüllen kann. Bislang bestehen in den wesentlichen Punkten, die die Europäer als wesentlich für ein angemessenes Datenschutzniveau betrachten, weiterhin Differenzen. Daher wird die politische Einigung lediglich als Signal bewertet, das die Unternehmen beruhigen und die Datenschützer milde stimmen soll.

Nächste Schritte

Der EU-US Privacy Shield ist bislang nur im Stadium einer politischen Einigung, sodass weiterhin keine rechtliche Sicherheit für Bürger und Unternehmen besteht. Entscheidend kommt es nun darauf an, die tatsächlichen Rechtstexte so zu gestalten, dass sie den europäischen Anforderungen gerecht werden. Als problematisch für die weiteren Verhandlungen erweist sich hier der kürzlich in den USA verabschiedete “Cybersecurity Act”. Dieses Gesetz erlaubt es den Unternehmen, den Behörden weitreichend personenbezogene Daten zu übermitteln. Ein formelles Gesetzgebungsverfahren mit Zustimmung des Parlaments wird es auf europäischer Seite im Übrigen nicht geben. Die Kommission wird die rechtlich geforderte Angemessenheit wie bei Safe Harbor im Wege einer Entscheidung bescheinigen. Die Arikel-29-Datenschutzgruppe (WP29) wird der Kommission beratend zur Seite stehen, hat aber bereits angekündigt, auch die noch bestehenden rechtlichen Mechanismen für einen Datentransfer wie den Standardvertragsklauseln und den Binding Corporate Rules einer Prüfung zu unterziehen.

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institut für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.