Privacy Shield – umstrittenes Datentransferabkommen zwischen der EU und den USA

Der EU-US Privacy Shield regelte von 2016 bis 2020 die Übermittlung von personenbezogenen Daten von der EU in die USA. Das Datentransferabkommen wurde vom Europäischen Gerichtshof im Juli 2020 für unwirksam erklärt (Schrems-II-Urteil), da es kein DSGVO-konformes Datenschutzniveau garantieren konnte. Zumindest bis Neuregelungen greifen, werden Unternehmen stärker in die Pflicht genommen und müssen sich – wollen sie Sanktionen vermeiden – nun aktiver mit dem Datenschutz in den USA beschäftigen.

Obwohl der Privacy Shield für ungültig erklärt wurde, können Unternehmen weiterhin personenbezogene Daten in die USA exportieren. Sie können dazu bereits verwendete EU-Standardvertragsklauseln (SCC) weiterhin nutzen. KMUs, die bislang ausschließlich dem Privacy Shield vertrauten, können auf Standardvertragsklauseln oder andere Alternativen umstellen. Für einige Unternehmen kommen etwa Binding Corporate Rules infrage.

Allerdings ist die Verwendung von Standardvertragsklauseln nach dem Schrems-II-Urteil an strengere Regeln und Bedingungen geknüpft: Unternehmen müssen zusätzliche Maßnahmen ergreifen und im Prinzip bei jeder Datenübermittlung eine Einzelfallprüfung vornehmen. Dabei müssen sie sich vergewissern, dass in dem jeweiligen Drittland tatsächlich ein angemessenes Datenschutzniveau vorliegt. Sollte dies etwa aufgrund der dort gültigen nationalen Sicherheitsgesetze nicht der Fall sein, muss ein Unternehmen die Datenübermittlung stoppen.

Des Weiteren unterliegen Standardvertragsklauseln einer Überprüfung durch europäische Aufsichts- und Datenschutzbehörden. Kann ein Datenempfänger aufgrund der Rechtslage in einem Drittland die Pflichten aus den Standardvertragsklauseln nicht einhalten, können Datenübermittlungen ausgesetzt oder gar verboten werden. Zu berücksichtigen ist bei der Prüfung des Datenschutzniveaus der gesamte Ablauf. Es muss also durchgängig garantiert sein, dass etwa nationale Sicherheits- und Ermittlungsbehörden im Empfängerland keinen Zugriff auf personenbezogene Daten haben.

In der aktuellen Situation erweist sich die Einzelfallprüfung gerade für KMUs als schwierig, da sie normalerweise nicht über das Know-how und die Mittel verfügen, um etwa ein angemessenes Datenschutzniveau in einem Drittland in allen Einzelheiten zu überprüfen. Zudem legt der EuGH in seinem Urteil nicht genau fest, welche konkreten Maßstäbe an Einzelfallprüfungen oder an mögliche Erweiterungen von Standardvertragsklauseln zu stellen sind.

Dennoch sollten sich KMUs aktiv mit dem Thema auseinandersetzen. Rechtsexperten raten dazu, sich bestmöglich abzusichern und eine solide Dokumentation über die eigenen Datenschutzbemühungen anzulegen. Für eine mögliche gerichtliche Auseinandersetzung sind Unternehmen dann gewappnet und können das eigene Vorgehen nach dem Ende des Privacy Shields vor Gericht besser verteidigen.

Eine konkrete Maßnahme zur Absicherung ist, auch die formellen Aspekte von Standarddatenschutzklauseln sorgfältig umzusetzen (z. B. durch eine genaue Beschreibung von Datenflüssen). Zudem sollte man nur zwingend benötigte personenbezogene Daten sammeln und weitergeben. Außerdem raten Rechtsexperten zu einer fundierten und gut dokumentierten Risikoanalyse, die alle relevanten Probleme in den Blick nimmt. So sollte die Rechtslage in den USA oder einem anderen Zielland außerhalb der EU genauer analysiert und die Wahrscheinlichkeit eines unangemessenen Datenzugriffs eingeschätzt werden.

Zudem sollte geklärt werden, ob der Empfänger angesichts der aktuellen Situation besondere vertragliche Pflichten übernimmt (z. B. erhöhte Beobachtungs- und Mitteilungspflichten). Unternehmen könnten in der aktuellen Situation auch amerikanische Geschäftspartner und Dienstleister dazu auffordern, alle verfügbaren technischen Mittel zur Optimierung des Datenschutzes einzusetzen (z. B. Verwendung einer Ende-zu-Ende-Verschlüsselung bei einer Videokonferenzsoftware.

Wer auf Datentransfers, Cloud-Dienste und Server in Drittländern außerhalb der EU verzichten kann, sollte sich nach DSGVO-konformen Alternativen in Europa umsehen. Außerdem sollte man die datenschutzrechtlichen Entwicklungen genau verfolgen. Der Europäische Datenschutzausschuss (EDSA) informiert Interessierte und Betroffene in einem FAQ-Dokument zum Privacy-Shield-Urteil des EuGHs über den aktuellen Stand.

Der Privacy Shield wurde Mitte 2016 offiziell als Nachfolger des EU-US-Datentransferabkommen Safe Harbor eingeführt. Mit dem Abkommen wollte man die Daten europäischer Bürger schützen, die nach einem Transfer in die USA von dort ansässigen Unternehmen gespeichert und verarbeitet werden. Dabei ging es ausschließlich um personenbezogene Daten, die beispielsweise in größerem Umfang im E-Commerce anfallen. Zu den personenbezogenen Daten gehören u. a. Telefon-, Kunden-, Kreditkarten- oder Personalnummern, Kontodaten, das Aussehen einer Person oder die Anschrift von EU-Bürgern in Kombination mit weiteren individuellen Daten.

Die Gültigkeit des Safe-Harbor-Nachfolgers endete im Juli 2020 durch ein Urteil des Europäischen Gerichtshofs (EuGH). Im sogenannten Schrems-II-Urteil vom 16.07.2020 geht der EuGH davon aus, dass das in der Datenschutz-Grundverordnung (DSGVO) geforderte Sicherheitsniveau bei der Speicherung und Verarbeitung von personenbezogenen Daten in den USA nicht erreicht wird.

Damit hob der EuGH auch den Angemessenheitsbeschluss der Europäischen Kommission auf, der den USA wiederholt ein ausreichendes Datenschutzniveau bescheinigte. Auslöser des EuGH-Urteils war eine Klage des Datenschützers Maximilian Schrems, der zuvor schon mit einer Klage das Ende des Safe-Harbor-Abkommens einleitete. Der Österreicher wollte Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten untersagen und hatte bei der irischen Datenschutzbehörde eine Beschwerde eingelegt. Als der irische High Court kein Verfahren einleitete, wurde er von Schrems verklagt. In zweiter Instanz legte die irische Datenschutzbehörde die Angelegenheit dem EuGH zur juristischen Überprüfung vor, der letztlich den EU-US Privacy Shield kippte.

Der Safe-Harbor-Nachfolger basierte auf besonderen Datenschutzmaßnahmen und -standards, die von den USA erfüllt werden mussten. Ein wichtiger Baustein war, dass sich US-Unternehmen für den Privacy Shield zertifizieren konnten. Nachdem sich ein US-Unternehmen freiwillig den Bedingungen des Abkommens unterstellte, fand eine Überprüfung durch das US-Handelsministerium statt. Hatte ein Unternehmen den Prozess erfolgreich durchlaufen, wurde es in eine öffentlich zugängliche Datenbank aufgenommen. Die Liste umfasste am Ende der Gültigkeit des Abkommens insgesamt 5.384 Organisationen.

Der EU-US Privacy Shield garantierte EU-Bürgern umfassende Rechte, wenn personenbezogene Daten an zertifizierte Unternehmen in die USA übermittelt wurden. Um diese geltend zu machen, konnten sich EU-Bürger direkt an die Unternehmen wenden. Diese mussten den Anliegen der Bürger innerhalb von 45 Tagen nachkommen. Die im Privacy Shield zugesicherten Rechte waren im Einzelnen:

• Recht auf Information und Auskunft
• Widerspruchsrecht (gegen eine Datenverarbeitung konnte ggf. Widerspruch eingelegt werden)
• Recht auf Berichtigung unrichtiger Daten
• Recht auf Löschung von Daten
• Beschwerde-/Abhilfeverfahren konnten in Anspruch genommen werden  

Zur Durchsetzung und Wahrung ihrer Rechte konnten sich EU-Bürger auch an eine Ombudsstelle innerhalb des US-Außenministeriums wenden. Die Vermittlungsinstanz sollte von allen Nachrichtendiensten unabhängig sein, den Anliegen von Privatpersonen nachgehen sowie in konkreten Fällen Auskunft erteilen, ob geltendes Recht eingehalten werde. Das Amt wurde allerdings erst 2018 auf Drängen der EU besetzt. Zunächst fungierte Manisha Singh als Ombudsperson, im Juni 2019 folgte Keith Krach.

Alternativ konnten sich EU-Bürger an ihre nationalen Datenschutzbehörden wenden, die sich dann zur weiteren Klärung direkt mit der US Federal Trade Commission (FTC) in Verbindung setzen konnten. Das Schiedsverfahren mit einem vollstreckbaren Schiedsspruch war die letzte Instanz, falls keine andere Form der Einigung gefunden werden konnte. Alle Unternehmen konnten zusätzlich nach den Empfehlungen europäischer Datenschutzbehörden handeln. Jene Unternehmen, die Personaldaten verarbeiten, sind dazu ohnehin verpflichtet.

Voraussetzung für die Gültigkeit des Privacy Shields war ein Angemessenheitsbeschluss der EU-Kommission, der den Vereinigten Staaten angemessene Datenschutzstandards für die Speicherung und Verarbeitung von personenbezogenen Daten aus der EU attestierte. Der Angemessenheitsbeschluss von 2016 wurde jährlich überprüft und bei Einhaltung des geforderten Datenschutzniveaus erneuert. Die EU-Kommission und das US-amerikanische Handelsministerium führten die Überprüfung gemeinsam unter Einbezug von Sachverständigen durch. Aus dem Verfahren ging ein öffentlich zugänglicher Bericht hervor, der dem Europäischen Parlament und dem Rat vorgelegt wurde.

Trotz dieser umfänglichen Maßnahmen zum Datenschutz wurde eine Massenüberwachung nicht komplett ausgeschlossen. In sechs Bereichen, die bei genauerer Betrachtung einen gewissen Interpretationsspielraum offen lassen, konnten die USA weiterhin Daten sammeln:

• Bekämpfung des Terrorismus
• Aufdecken von Aktivitäten fremder Mächte
• Kampf gegen die Verbreitung von Massenvernichtungswaffen
• Cybersicherheit
• Schutz von US- und verbündeten Streitkräften
• Bekämpfung transnationaler krimineller Bedrohungen

Die umfangreichen Rechte der EU-Bürger, die sich im Falle von konkreten Datenschutzverstößen von US-Unternehmen über diverse Instanzen beschweren konnten, zählten zu den Vorteilen der Privacy-Shield-Vereinbarung. Eine wichtige Komponente war zudem der Zweckbindungsgrundsatz. Daten durften ausschließlich zu einem im Voraus festgelegten, unmissverständlichen und rechtlich zulässigen Zweck protokolliert und verarbeitet werden.

Der EU-US Privacy Shield stieß allerdings von Beginn an auf Widerspruch. Kritikern war das Abkommen nicht weitreichend genug. Man beklagte, dass die Forderungen des Europäischen Gerichtshofs nicht ausreichend erfüllt wurden und viele Unstimmigkeiten nur kosmetisch kaschiert wurden. Da die Stelle des Ombudsmannes dem Außenministerium zugeordnet war, vermissten Kritiker eine institutionelle Unabhängigkeit und sahen darin einen Konflikt mit der Datenschutz-Grundverordnung (Art. 52 Abs. 1 DSGVO). Außerdem bemängelten sie, dass betroffene EU-Bürger gegen Entscheidungen der Ombudsstelle nicht prozessieren konnten.

Ein weiterer Hauptkritikpunkt war, dass die Massenüberwachungsmaßnahmen keiner Verhältnismäßigkeitsprüfung unterlagen und somit gegen europäisches Recht verstoßen werde. Die USA seien noch immer zentraler Kontrollmachthaber und eine Untersuchung von nationalen Aufsichtsbehörden sei nicht erkennbar. Die Kritiker vermissten außerdem die dringend notwendige Kontrolle großer US-Onlineunternehmen.

Aufgrund dieser Defizite gingen Kritiker und Experten schon damals davon aus, dass das Abkommen einer konkreten Überprüfung durch den Europäischen Gerichtshof nicht standhalten werde und daher keine langfristig rechtssichere Lösung darstelle. Die auffällig geringen Unterschiede zu Safe Harbor wurden wiederholt angeprangert. Viele Kritiker gingen davon aus, dass diverse Datenschutzschlupflöcher de facto nicht durch den Privacy Shield geschlossen wurden.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.