Die EU-Kommission präsentierte ihn als rechtlich saubere Lösung: Der neue “EU-US Privacy Shield” als Ersatz für das vom Europäischen Gerichtshof im Oktober 2015 für unwirksam erklärte Safe Harbor-Konzept für die Übermittlung personenbezogener Daten in die USA.
Die bereits kurz nach Bekanntgabe kritisierte Lösung scheint nun unter zusätzlichen Beschuss zu geraten. Denn die europäischen Datenschutzbehörden halten den neuen Datenschutzschild offensichtlich nicht geeignet, um bei Empfängern in den USA ein angemessenes Datenschutzniveau nachzuweisen. Die im Laufe dieser Woche erwartete offizielle Stellungnahme der Aufsichtsbehörden könnte die derzeitige Rechtsunsicherheit für europäische Unternehmen verlängern.
Worum geht es?
Die EU-Datenschutzrichtlinie und die nationalen Datenschutzgesetze in den EU-Mitgliedsstaaten erlauben eine Übermittlung personenbezogener Daten an Empfänger außerhalb der EU nur dann, wenn bei diesen Empfängern ein “angemessenes Datenschutzniveau” herrscht, das dem Rechtsrahmen innerhalb der EU vergleichbar ist. Ohne ein solches angemessenes Datenschutzniveau ist die Datenübermittlung nur in wenigen, eng definierten Ausnahmefällen erlaubt. Für einige Drittstaaten hat die EU-Kommission ein angemessenes Datenschutzniveau allgemein festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay. Für die Datenübermittlung in sonstige Drittstaaten können vertragliche Vereinbarungen (auf Grundlage der von der EU-Kommission veröffentlichten “Standardvertragsklauseln”), verbindliche Unternehmensregeln für Datenübermittlungen innerhalb von Unternehmensgruppen (“Binding Corporate Rules”) oder Einzelfallgenehmigungen der Aufsichtsbehörden als rechtskonforme Gestaltungsmöglichkeiten in Betracht kommen. Einen Sonderfall bildeten Datenübermittlungen in die USA auf Grundlage des Safe Harbor-Konzepts: Dabei konnten personenbezogene Daten aus der EU in die USA übermittelt werden, wenn die dortigen Empfänger im Rahmen einer Selbstzertifizierung erklären, bestimmte Voraussetzungen zur Einhaltung eines angemessenen Datenschutzniveaus zu erfüllen.
Das Safe Harbor-Urteil und die Aufsichtsbehörden
Mit seinem Urteil vom 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) das Safe Harbor-Konzept jedoch für unwirksam. Denn auch Safe Harbor-zertifizierte Empfänger seien im Zweifel verpflichtet, US-Behörden den Zugriff auf personenbezogene Daten zu gewähren. Zudem seien die Befugnisse der US-Behörden – insbesondere der Geheimdienste – im Hinblick auf die anlasslose Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.
In seinem Urteil hatte der EuGH überdies die Unabhängigkeit der nationalen Aufsichtsbehörden für den Datenschutz gestärkt und festgehalten, dass die Behörden auch gegenüber Entscheidungen der EU-Kommission (wie etwa der zu Safe Harbor) eine eigene Prüfungskompetenz zustehe. Unmittelbar nach dem Safe Harbor-Urteil kündigten die Aufsichtsbehörden dann auch an, nicht nur gegen Datenübermittlungen auf der unwirksamen Safe Habor-Grundlage einschreiten zu wollen, sondern auch zu prüfen, ob die alternativen Gestaltungsoptionen (also die Standardvertragsklauseln oder Binding Corporate Rules) den Maßgaben des europäischen Datenschutzrechts genügen. Mit dieser Ankündigung wurde das Urteil nicht nur für die rund 4.000 Empfänger in den USA relevant, an die europäische Unternehmen personenbezogene Daten auf Grundlage von Safe Harbor übermittelten. Vielmehr stand nahezu der gesamte transatlantische Datentransfer auf dem rechtlichen Prüfstand. In ihrer Ankündigung setzten die Behörden der EU-Kommission eine Frist bis Ende Januar 2016, um mit den USA eine rechtlich einwandfreie Nachfolgelösung für Safe Harbor vereinbaren sollten. Immerhin: Bis zum Ablauf dieser Frist sollten jedenfalls die Standardvertragsklauseln als rechtliche Grundlage für Datenübermittlungen weiterhin geeignet sein – von dieser Möglichkeit machten zahlreiche Unternehmen (darunter Anbieter von Cloud-Lösungen mit Sitz in den USA) Gebrauch.
Der EU-US Privacy Shield
Kurz nach Ende der von den Aufsichtsbehörden gesetzten Frist verkündete die EU-Kommission zunächst eine “politische Einigung” mit ihren US-Verhandlungspartnern und hob den neuen Datenschutzschild aus der Taufe. Auch dieser folgt dem schon vom Safe Harbor-Konzept bekannten Grundprinzip der Selbstzertifizierung auf Grundlage eines definierten Regelwerks. Allerdings soll die Einhaltung der Regeln besser überwacht und die Nichteinhaltung stärker sanktioniert werden. Zudem versichert die US-Seite, dass der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliegt und keine Massenüberwachung stattfindet. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.
Die neuen Regelungen stießen bereits unmittelbar nach ihrer Bekanntgabe auf Kritik, und insbesondere Bürgerrechtsaktivisten sahen auch den EU-US Privacy Shield bereits – wie Safe Harbor – vor dem EuGH. Wirtschaftsvertreter auf beiden Seiten des Atlantiks wiesen demgegenüber auf die Bedeutung internationaler Datentransfers in einer globalisierten Wirtschaft hin und verteidigten das neue Konzept – die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU sei keine valide Option.
Wohl keine Zustimmung der europäischen Aufsichtsbehörden zum Datenschutzschild
Mittlerweise steht zu erwarten, dass die anfänglich geäußerte Kritik auch von den europäischen Aufsichtsbehörden geteilt wird. Diese haben den neuen Datenschutzschild auf Grundlage der Ende Februar 2016 von der EU-Kommission veröffentlichten Dokumente geprüft. Aus dem Kreis der deutschen Aufsichtsbehörden wurde – offensichtlich aufgrund eines Versehens – Ende letzter Woche der Entwurf einer Entschließung öffentlich, mit der Einfluss auf die Entscheidung der sog. Artikel 29-Arbeitsgruppe, dem Zusammenschluss der europäischen Aufsichtsbehörden, zum neuen Konzept genommen werden soll. Daraus wird deutlich, dass sich die Arbeitsgruppe ohne Nachbesserungen am bislang vorliegenden Datenschutzschild nicht zu einer abschließenden (zustimmende) Einschätzung in der Lage sieht. Die Zustimmung der Aufsichtsbehörden ist formal keine Voraussetzung für die Verabschiedung des EU-US Privacy Shield, die die EU-Kommission für Sommer 2016 geplant hatte. Allerdings sollen aus Sicht der deutschen Aufsichtsbehörden auch gerichtliche Schritte erwogen werden, sollte die EU-Kommission den Datenschutzschild gleichwohl in Kraft setzen. Auch das neue Konzept könnte – wie sein Vorgänger Safe Harbor – dann wieder vor dem EuGH landen.
Standardvertragsklauseln weiter auf dem Prüfstand
Aus praktischer Sicht fast noch wichtiger als das Schicksal des EU-US Privacy Shield sind indes die Standardvertragsklauseln. Über deren Zukunft scheinen die Aufsichtsbehörden gleichfalls noch keine abschließende Entscheidung getroffen zu haben. Allerdings ist diese Gestaltungsvariante auch für transatlantische Datenübermittlungen derzeit die wohl sicherste Alternative und wird von den Behörden vorläufig jedenfalls grundsätzlich toleriert. Vor diesem Hintergrund haben viele Unternehmen seit dem EuGH-Urteil im Oktober 2015 die vormaligen Safe Harbor-Zertifizierungen durch Standardvertragsklauseln ersetzt. Hierzu gehören auch Dienstleister in den USA, die europäischen Kunden Cloud- oder “Software as a Service”-Anwendungen zur Verfügung stellen, bei deren Betrieb personenbezogene Daten verarbeitet werden. Dieses Vorgehen ist auch deshalb nachvollziehbar, weil deutsche Aufsichtsbehörden die Einhaltung des Safe Harbor-Urteils überprüfen und bereits erste Bußgeldverfahren angekündigt haben.
Die nächsten Wochen werden deshalb spannend für alle europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln oder sich Dienstleistern mit Sitz oder Rechenzentren in den USA bedienen: Ob der EU-US Privacy Shield tatsächlich in Kraft tritt, ist derzeit ebenso offen wie die Zukunft der praktisch relevanten Standardvertragsklauseln.
Michael Kamps ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Hasche Sigle und berät schwerpunktmäßig im Datenschutzrecht.