Der Europäische Gerichtshof (EuGH) prüft derzeit die Zulässigkeit des 2016 geschlossenen Privacy-Shield-Abkommens zwischen der EU und den USA. Es ist eine der wichtigsten Grundlagen für die Übermittlung personenbezogener Daten und für die Digitalwirtschaft extrem relevant.
Das Privacy-Shield-Verfahren ist aus datenschutzrechtlicher Sicht eine Art Selbstzertifizierungsmechanismus, dem sich US-amerikanische Unternehmen unterwerfen können. Damit soll ein ausreichender Schutz für die Verarbeitung von Personendaten von EU-Bürgern gewährleistet sein. Dieses Abkommen steht jetzt auf der Kippe. Die französische Nichtregierungsorganisation „La Quadrature du Net“ beispielsweise behauptet, dass der dem EU-US-Datenschutzschild zugrunde liegende Angemessenheitsbeschluss der EU-Kommission nichtig ist. In vier Punkten werden Verstöße gegen die Grundrechtecharta der EU geltend gemacht. „Unter anderem kritisieren die Aktivisten, dass nach wie vor anlassunabhängige Datenerhebungen aufgrund geltender US-Regelungen weiter möglich und keine unabhängigen Kontrollen durchführbar seien“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock.
Folgen für die Digitalwirtschaft
Ein Wegfall des EU-US-Privacy-Shields hätte erhebliche Auswirkungen auf die digitale Wirtschaft. Denn die Übermittlung personenbezogener Daten an Unternehmen außerhalb der EU benötigt eine geeignete Rechtsgrundlage und eine Absicherung zur Gewährleistung eines angemessenen Datenschutzniveaus. Neben dem jetzt angefochtenen Angemessenheitsbeschluss der EU-Kommission kommen nur noch die ausdrückliche Einwilligung des Betroffenen, konzerninterne Verhaltensvorschriften (Binding Corporate Rules) oder EU-Standardvertragsklauseln in Betracht.
Sollte der EuGH gravierende Defizite entdecken, steht nicht nur die Privacy-Shield-Regelung auf dem Spiel, sondern auch die Standardvertragsklauseln werden hinfällig. Diese sind ein System vertraglicher Datenschutzgarantien und haben in der Praxis oft größere Bedeutung als ein bilateraler Freifahrtschein wie das Privacy-Shield-Abkommen. „Falls dieses sowie auch die Standardvertragsklauseln für unzulässig erklärt würden, stünden viele Unternehmen vor einem Daten-Chaos“, sagt Keller. Sie wären in der Zusammenarbeit mit ausländischen Unternehmen massiv eingeschränkt, und auch der Datenaustausch zwischen einem europäischen Mutterkonzern und einer ausländischen Tochterfirma wäre in Gefahr.
Datenschutzkonform agieren
Als Alternativen böten sich zum konzerninternen Datenaustausch interne Verhaltensvorschriften zum Schutz personenbezogener Daten an. Dies ist jedoch nur für Konzerne eine Lösung. Eine weitere Option wäre die in Artikel 7 der Datenschutzgrundverordnung (DSGVO) formulierte ausdrückliche Einwilligung des Betroffenen, was jedoch kaum praktikabel sein dürfte. „Die DSGVO bietet auch die Möglichkeit an, dass Unternehmen eine datenschutzspezifische Zertifizierung für den Datentransfer von Behörden bekommen. Ein US-amerikanisches Unternehmen als Empfänger der Daten müsste somit etwa geltenden ISO-Normen folgen“, sagt Ecovis-Anwalt Keller.
Axel Keller, Rechtsanwalt bei Ecovis in Rostock
www.ecovis.com