EU-US Privacy Shield

Nichtigkeitsklage gegen Safe-Harbor-Nachfolger

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Digital Rights Ireland hat Nichtigkeitsklage gegen das EU-US Privacy Shield eingereicht. Wir sagen Ihnen, welche Folgen das haben könnte.

Die Europäische Kommission hatte mit der sogenannten Angemessenheitsentscheidung vom 12. Juli 2016 festgestellt, dass das EU-US Privacy Shield ein angemessenes Datenschutzniveau in den USA gewährleiste. Unternehmen aus der Europäischen Union können daher auf der Grundlage des Privacy Shields personenbezogene Daten von EU-Bürgern an Unternehmen in den USA übermitteln, wenn sich die US-Unternehmen verpflichtet haben, die Grundsätze des Privacy Shields zum Schutz personenbezogener Daten einzuhalten. Hat die nun eingereichte Nichtigkeitsklage Erfolg, könnte das Privacy Shield schon ein halbes Jahr nach seiner Einführung nicht mehr als Rechtsgrundlage für eine Datenübermittlung in die USA herangezogen werden.

Grenzüberschreitender Datenverkehr

Sollen personenbezogene Daten aus einem Mitgliedsstaat der EU in ein Drittland übermittelt werden, ist dies nur dann zulässig, wenn (aus Sicht der EU) das Drittland ein angemessenes Datenschutzniveau gewährleistet. Ob das Drittland ein angemessenes Datenschutzniveau bietet, beurteilt die Europäische Kommission anhand aller Umstände, die bei der Datenübermittlung eine Rolle spielen. Dazu zählen insbesondere die Art der Daten, der Zweck der Datenübermittlung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland. Außerdem sind die in dem betreffenden Drittland geltenden Rechtsnormen sowie die dort geltenden Sicherheitsmaßnahmen zu berücksichtigen. Ist dadurch ein angemessenes Datenschutzniveau gewährleistet, stellt die Europäische Kommission dies durch eine Angemessenheitsentscheidung fest.

Datenschutz in den USA

Die Europäische Kommission hatte schon früh festgestellt, dass in den USA generell kein angemessenes Datenschutzniveau herrscht. Aus diesem Grund gab es in den Jahren 2000 bis 2015 das sogenannte Safe-Harbor-Abkommen. Auf Grundlage dieses Abkommens konnten Unternehmen in den USA zum "sicheren Hafen" für personenbezogene Daten aus der EU werden, wenn sie sich dazu verpflichtet hatten, die Prinzipien zum Schutz personenbezogener Daten des Safe-Harbor-Abkommens einzuhalten. Die Europäische Kommission hat diese Datenschutzprinzipien als angemessenes Datenschutzniveau innerhalb eines US-Unternehmens anerkannt, wenn sich die US-Unternehmen gegenüber der Federal Trade Commission (FTC) zur Einhaltung dieser Prinzipien verpflichtet hatten.

Das EU-US Privacy Shield könnte bereits ein halbes Jahr nach seiner Einführung gekippt werden.
Das EU-US Privacy Shield könnte bereits ein halbes Jahr nach seiner Einführung gekippt werden.
Foto: Sashkin - shutterstock.com

Mit Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden, dass das Safe-Harbor- Abkommenkein angemessenes Schutzniveau für den Schutz personenbezogener Daten in den USA darstellt. Der EuGH hat sein Urteil im Wesentlichen auf vier Aspekte gestützt. Zunächst hat er festgestellt, dass die Europäische Kommission ihre Angemessenheitsentscheidung allein auf die Prinzipien des Safe-Harbor-Abkommens gestützt hat, dabei aber den Inhalt der in den USA geltenden, aus innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis außer Acht gelassen. Diese Regeln hätten jedoch berücksichtigt werden müssen. Das Gericht kritisierte weiter, dass Unternehmen den Safe-Harbor-Prinzipien beitreten konnten, wenn sie sich selbst dafür zertifizieren. Dieses System der Selbstzertifizierungwurde aber nicht überwacht, es wurde also gar nicht kontrolliert, ob die Safe-Harbor-Prinzipien von den Unternehmen eingehalten wurden. Sodann wies der Europäische Gerichtshof darauf hin, dass das nationale Recht der USA stets den Safe-Harbor-Prinzipien vorgehe, und zwar ohne sich im Einzelnen mit den Interessen der Betroffenen aus der EU auseinander zu setzen. Dadurch ist es möglich, personenbezogene Daten anlasslos und massenhaft zu speichern, auch wenn die europäischen Datenschutzprinzipien dem grundsätzlich entgegenstehen. Das Datenschutzniveau in den USA sei deshalb nicht mit dem Datenschutzrecht der EU vergleichbar. Schließlich kritisierte das Gericht, dass die Betroffenen nicht die Möglichkeiten haben, wirksamen Rechtsschutz gegen derartige Eingriffe in Anspruch zu nehmen. Aus diesen Gründen konnte das Safe-Harbor-Abkommen nicht mehr als Grundlage für eine Datenübermittlung zwischen der EU und den USA verwendet werden.

EU-US Privacy Shield beerbt Safe Harbor

Die USA und die EU haben deshalb neue Grundsätze (das sogenannte EU-US Privacy Shield) verhandelt, um einzelnen Unternehmen in den USA zu ermöglichen, ein angemessen Datenschutzniveau für europäische personenbezogene Daten zu schaffen. Das Privacy Shield versucht, die Kritik des EuGH am Safe-Harbor-Abkommen umzusetzen. Die US-Regierung hat sich darin verpflichtet, den Umgang der US-Unternehmen mit personenbezogenen Daten stärker als bisher zu überwachen. Zwar hat man an dem System der Selbstzertifizierung festgehalten, jedoch muss diese nun jährlich aktualisiert werden. Zudem sind Unternehmen nun verpflichtet, auf ihrer Webseite eine Datenschutzrichtlinie zu veröffentlichen, in der beschrieben wird, wie sie mit personenbezogenen Daten umgehen. Um dem Vorwurf der anlasslosen Massenspeicherung von personenbezogenen Daten entgegenzutreten, hat die US-Regierung zugesagt, den staatlichen Zugriff auf personenbezogene Daten nur in engen Grenzen zuzulassen. Die Rechte der Betroffenen wurden erweitert. So wurden nun Beschwerdemöglichkeiten für EU-Bürger vorgesehen. Zudem wurde ein Ombudsmann installiert.

Die Europäische Kommission hat am 12. Juli 2016 entschieden, dass diese neuen Grundsätze des EU-US Privacy Shields ein angemessenes Datenschutzniveau bei teilnehmenden Unternehmen in den USA gewährleisten. Seitdem können auf dieser Grundlage personenbezogene Daten in die USA übermittelt werden.

Kritik auch am Safe-Harbor-Nachfolger

Das Privacy Shield wurde bereits während der Verhandlungen kritisiert. Die Zusagen der USA gehen den europäischen Datenschützern nicht weit genug. Kritisiert wird insbesondere, dass den Betroffenen noch zu geringe Rechte zustehen, um die Verarbeitung personenbezogener Daten durch US- Unternehmen wirksam einschränken zu können. Auch fehlen wirksame Mittel, um die gewährten Rechte durchzusetzen. Gefordert wurde deshalb, dass EU-Bürger die gleichen Rechte zustehen sollten wie US-Bürgern. Schließlich werden die Zusagen der US-Regierung, den Zugriff staatlicher Stellen einzuschränken, als nicht ausreichend angesehen. Vor dem Hintergrund dieser Kritik ist es nicht überraschend, dass nunmehr Klage gegen das Privacy Shield eingereicht wurde.

Die Nichtigkeitsklage und ihre Erfolgsaussichten

Die Klage wurde von Digital Rights Ireland beim Gericht der Europäischen Union eingereicht. Bevor das Gericht der Europäischen Union sich aber inhaltlich mit dem EU-US Privacy Shield auseinandersetzen kann, muss zunächst geklärt werden, ob die Klage aus prozessualen Gründen überhaupt zulässig ist. Hierbei ist fraglich, ob Digital Rights Ireland als juristische Person überhaupt unmittelbar und individuell durch das Privacy Shield als juristische Person betroffen ist. Denn die Datenschutzbestimmungen der EU schützen eigentlich nur natürliche Personen, nicht aber Unternehmen. Personenbezogene Daten, die sich ausschließlich auf juristische Personen beziehen, fallen daher nur ausnahmsweise in den Schutzbereich der europäischen Datenschutzbestimmungen. Erst vor kurzem hatte der EuGH entschieden, dass auch dynamische IP-Adressen ein personenbezogenes Datum darstellen. Das Gericht könnte aber auch feststellen, dass das Privacy Shield ein Rechtsakt mit Verordnungscharakter ist, der Digital Rights Ireland unmittelbar betrifft und keine Durchführungsmaßnahmen des jeweiligen Mitgliedsstaates verlangt.

Es bleibt also abzuwarten, ob sich das Gericht der Europäischen Union mit den Details des Privacy Shield auseinander setzen wird oder ob die Klage aus prozessualen Gründen abgewiesen wird. Sollte dies geschehen, wird man wohl nicht allzu lange auf die nächste Klage warten müssen. (fm)