Die Europäische Kommission hatte mit der sogenannten Angemessenheitsentscheidung vom 12. Juli 2016 festgestellt, dass das EU-US Privacy Shield ein angemessenes Datenschutzniveau in den USA gewährleiste. Unternehmen aus der Europäischen Union können daher auf der Grundlage des Privacy Shields personenbezogene Daten von EU-Bürgern an Unternehmen in den USA übermitteln, wenn sich die US-Unternehmen verpflichtet haben, die Grundsätze des Privacy Shields zum Schutz personenbezogener Daten einzuhalten. Hat die nun eingereichte Nichtigkeitsklage Erfolg, könnte das Privacy Shield schon ein halbes Jahr nach seiner Einführung nicht mehr als Rechtsgrundlage für eine Datenübermittlung in die USA herangezogen werden.
Grenzüberschreitender Datenverkehr
Sollen personenbezogene Daten aus einem Mitgliedsstaat der EU in ein Drittland übermittelt werden, ist dies nur dann zulässig, wenn (aus Sicht der EU) das Drittland ein angemessenes Datenschutzniveau gewährleistet. Ob das Drittland ein angemessenes Datenschutzniveau bietet, beurteilt die Europäische Kommission anhand aller Umstände, die bei der Datenübermittlung eine Rolle spielen. Dazu zählen insbesondere die Art der Daten, der Zweck der Datenübermittlung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland. Außerdem sind die in dem betreffenden Drittland geltenden Rechtsnormen sowie die dort geltenden Sicherheitsmaßnahmen zu berücksichtigen. Ist dadurch ein angemessenes Datenschutzniveau gewährleistet, stellt die Europäische Kommission dies durch eine Angemessenheitsentscheidung fest.
Datenschutz in den USA
Die Europäische Kommission hatte schon früh festgestellt, dass in den USA generell kein angemessenes Datenschutzniveau herrscht. Aus diesem Grund gab es in den Jahren 2000 bis 2015 das sogenannte Safe-Harbor-Abkommen. Auf Grundlage dieses Abkommens konnten Unternehmen in den USA zum "sicheren Hafen" für personenbezogene Daten aus der EU werden, wenn sie sich dazu verpflichtet hatten, die Prinzipien zum Schutz personenbezogener Daten des Safe-Harbor-Abkommens einzuhalten. Die Europäische Kommission hat diese Datenschutzprinzipien als angemessenes Datenschutzniveau innerhalb eines US-Unternehmens anerkannt, wenn sich die US-Unternehmen gegenüber der Federal Trade Commission (FTC) zur Einhaltung dieser Prinzipien verpflichtet hatten.
Foto: Sashkin - shutterstock.com
Mit Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden, dass das Safe-Harbor- Abkommenkein angemessenes Schutzniveau für den Schutz personenbezogener Daten in den USA darstellt. Der EuGH hat sein Urteil im Wesentlichen auf vier Aspekte gestützt. Zunächst hat er festgestellt, dass die Europäische Kommission ihre Angemessenheitsentscheidung allein auf die Prinzipien des Safe-Harbor-Abkommens gestützt hat, dabei aber den Inhalt der in den USA geltenden, aus innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis außer Acht gelassen. Diese Regeln hätten jedoch berücksichtigt werden müssen. Das Gericht kritisierte weiter, dass Unternehmen den Safe-Harbor-Prinzipien beitreten konnten, wenn sie sich selbst dafür zertifizieren. Dieses System der Selbstzertifizierungwurde aber nicht überwacht, es wurde also gar nicht kontrolliert, ob die Safe-Harbor-Prinzipien von den Unternehmen eingehalten wurden. Sodann wies der Europäische Gerichtshof darauf hin, dass das nationale Recht der USA stets den Safe-Harbor-Prinzipien vorgehe, und zwar ohne sich im Einzelnen mit den Interessen der Betroffenen aus der EU auseinander zu setzen. Dadurch ist es möglich, personenbezogene Daten anlasslos und massenhaft zu speichern, auch wenn die europäischen Datenschutzprinzipien dem grundsätzlich entgegenstehen. Das Datenschutzniveau in den USA sei deshalb nicht mit dem Datenschutzrecht der EU vergleichbar. Schließlich kritisierte das Gericht, dass die Betroffenen nicht die Möglichkeiten haben, wirksamen Rechtsschutz gegen derartige Eingriffe in Anspruch zu nehmen. Aus diesen Gründen konnte das Safe-Harbor-Abkommen nicht mehr als Grundlage für eine Datenübermittlung zwischen der EU und den USA verwendet werden.
EU-US Privacy Shield beerbt Safe Harbor
Die USA und die EU haben deshalb neue Grundsätze (das sogenannte EU-US Privacy Shield) verhandelt, um einzelnen Unternehmen in den USA zu ermöglichen, ein angemessen Datenschutzniveau für europäische personenbezogene Daten zu schaffen. Das Privacy Shield versucht, die Kritik des EuGH am Safe-Harbor-Abkommen umzusetzen. Die US-Regierung hat sich darin verpflichtet, den Umgang der US-Unternehmen mit personenbezogenen Daten stärker als bisher zu überwachen. Zwar hat man an dem System der Selbstzertifizierung festgehalten, jedoch muss diese nun jährlich aktualisiert werden. Zudem sind Unternehmen nun verpflichtet, auf ihrer Webseite eine Datenschutzrichtlinie zu veröffentlichen, in der beschrieben wird, wie sie mit personenbezogenen Daten umgehen. Um dem Vorwurf der anlasslosen Massenspeicherung von personenbezogenen Daten entgegenzutreten, hat die US-Regierung zugesagt, den staatlichen Zugriff auf personenbezogene Daten nur in engen Grenzen zuzulassen. Die Rechte der Betroffenen wurden erweitert. So wurden nun Beschwerdemöglichkeiten für EU-Bürger vorgesehen. Zudem wurde ein Ombudsmann installiert.
Die Europäische Kommission hat am 12. Juli 2016 entschieden, dass diese neuen Grundsätze des EU-US Privacy Shields ein angemessenes Datenschutzniveau bei teilnehmenden Unternehmen in den USA gewährleisten. Seitdem können auf dieser Grundlage personenbezogene Daten in die USA übermittelt werden.
Kritik auch am Safe-Harbor-Nachfolger
Das Privacy Shield wurde bereits während der Verhandlungen kritisiert. Die Zusagen der USA gehen den europäischen Datenschützern nicht weit genug. Kritisiert wird insbesondere, dass den Betroffenen noch zu geringe Rechte zustehen, um die Verarbeitung personenbezogener Daten durch US- Unternehmen wirksam einschränken zu können. Auch fehlen wirksame Mittel, um die gewährten Rechte durchzusetzen. Gefordert wurde deshalb, dass EU-Bürger die gleichen Rechte zustehen sollten wie US-Bürgern. Schließlich werden die Zusagen der US-Regierung, den Zugriff staatlicher Stellen einzuschränken, als nicht ausreichend angesehen. Vor dem Hintergrund dieser Kritik ist es nicht überraschend, dass nunmehr Klage gegen das Privacy Shield eingereicht wurde.
Die Nichtigkeitsklage und ihre Erfolgsaussichten
Die Klage wurde von Digital Rights Ireland beim Gericht der Europäischen Union eingereicht. Bevor das Gericht der Europäischen Union sich aber inhaltlich mit dem EU-US Privacy Shield auseinandersetzen kann, muss zunächst geklärt werden, ob die Klage aus prozessualen Gründen überhaupt zulässig ist. Hierbei ist fraglich, ob Digital Rights Ireland als juristische Person überhaupt unmittelbar und individuell durch das Privacy Shield als juristische Person betroffen ist. Denn die Datenschutzbestimmungen der EU schützen eigentlich nur natürliche Personen, nicht aber Unternehmen. Personenbezogene Daten, die sich ausschließlich auf juristische Personen beziehen, fallen daher nur ausnahmsweise in den Schutzbereich der europäischen Datenschutzbestimmungen. Erst vor kurzem hatte der EuGH entschieden, dass auch dynamische IP-Adressen ein personenbezogenes Datum darstellen. Das Gericht könnte aber auch feststellen, dass das Privacy Shield ein Rechtsakt mit Verordnungscharakter ist, der Digital Rights Ireland unmittelbar betrifft und keine Durchführungsmaßnahmen des jeweiligen Mitgliedsstaates verlangt.
Es bleibt also abzuwarten, ob sich das Gericht der Europäischen Union mit den Details des Privacy Shield auseinander setzen wird oder ob die Klage aus prozessualen Gründen abgewiesen wird. Sollte dies geschehen, wird man wohl nicht allzu lange auf die nächste Klage warten müssen. (fm)
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)