Auch der Nachfolger von Safe Harbor bringt für datenexportierende EU-Unternehmen keine endgültige Rechtssicherheit. Die Kommission deutete an, den eigenen Angemessenheitsbeschluss auszusetzen oder sogar aufzuheben. Bis 28.2.2019 hat die US-Regierung Zeit, die Umsetzung der geforderten Verpflichtungen nachzuweisen. Ein Kommentar der Datenschutzexperten Johannes Juranek und Ines Freitag. [...]
Die Verordnung (EU) 2016/679 des Europäischen Parlaments vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (abgekürzt als DSGVO) schützt die Verarbeitung von personenbezogenen Daten und ermöglicht Unternehmen mit Sitz in der Europäischen Union – unter Einhaltung der Prinzipien der DSGVO – personenbezogene Daten an andere, innerhalb der EU niedergelassene Unternehmen, zu übermitteln. Ein komplexeres Thema war und bleibt aber auch unter der DSGVO die rechtliche Zulässigkeit von Datenübermittlungen in sogenannte Drittländer. Hierbei handelt es sich um Staaten, die weder EU-Mitgliedstaaten sind noch zu den drei Mitgliedstaaten des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen) zählen.
Um solche Datenübermittlung sicherzustellen, sieht die DSGVO spezielle Regelungen vor. So ist die Datenübermittlung nur dann zulässig, wenn der Datenempfänger über ein angemessenes Schutzniveau verfügt, welches u.a. mithilfe eines Angemessenheitsbeschlusses der Kommission festgestellt werden kann.Falls die Kommission von diesem Recht Gebrauch macht und einem bestimmten Drittland dieses Schutzniveau attestiert, dürfen personenbezogene Daten von einem in der EU niedergelassenen Unternehmen an ein Unternehmen mit Sitz in diesem Drittstaat ohne weitere Voraussetzungen (z.B. Abschluss von Standarddatenschutzklauseln, Binding-Corporate Rules oder Einholung der Einwilligung des Betroffenen etc.) übermittelt werden, sofern der Empfänger einen Rechtsgrund für den Empfang der Daten hat (bspw. berechtigtes Interesse, Einwilligung des Betroffenen etc.).
EU-US Privacy Shield vs. Safe Harbor – Same, same but different?
Nachdem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen nach 15 Jahren Anwendung und einer Reihe an Kritikpunkten im Oktober 2015 für ungültig erklärte, wurden Stimmen aus der Wirtschaft laut, die nach einer praxistauglichen Alternative zu den bestehenden Mechanismen riefen. Denn die Entscheidung des EuGH hatte zur Folge, dass von einem Tag auf den anderen sämtliche transatlantische Datenflüsse einer neuen Rechtsgrundlage bedurften und Unternehmen sich somit nicht mehr auf die Blankogenehmigung Safe Harbor verlassen konnten.So stand zwar datenexportierenden EU-Unternehmen nach wie vor die Möglichkeit offen, den Datenfluss mittels Abschluss von Standarddatenschutzklauseln oder Binding-Corporate-Rules abzusichern. Für den Großteil war diese Lösung aber nicht zufriedenstellend, zumal die Verhandlung der Standarddatenschutzklauseln bzw. Binding-Corporate-Rules nicht nur das alltägliche Geschäft belasteten, sondern auch einen erheblichen Kosten- und Zeitfaktor darstellten.
Dem Ruf nach einer praxistauglichen Alternative folgte die Kommission rasch und verlautbarte das EU-US Privacy Shield am 12. Juli 2016.Ähnlich wie Safe Harbor setzt auch das EU-US Privacy Shield voraus, dass sich datenimportierende US-amerikanische Unternehmen selbst zertifizieren. Ist ein US-amerikanisches Unternehmen einmal zertifiziert, ist der Datentransport von der EU in die USA legitimiert und das betreffende US-amerikanische Unternehmen verpflichtet sich den vom EU-US Privacy Shield vorgesehenen
Rechtschutzmechanismus zu beachten.
Nachdem das Abkommen bekannt wurde, stellten sich viele die Frage, ob hier nicht einfach das Safe-Harbor-Abkommen in einen neuen Mantel gehüllt wurde: Schließlich konnten sich US-amerikanische Unternehmen nach wie vor selbst zertifizieren. Ein weiterer Punkt war die Umsetzung eines wirksamen Schutzes von EU-Bürgerdaten vor einem extensiven Zugriff durch die US-amerikanischen Behörden. Denn eine Sammelerhebung durch die US-Behörden unter Berufung auf die nationale Sicherheit ist nach wie vor möglich.
Den kritischen Stimmen wurde u.a. mit der Einrichtung eines sogenannten Ombudsmechanismus (einer Ombudsstelle, die für die korrekte Klärung von Beschwerden von Privatpersonen im Zusammenhang mit Massenüberwachungen zuständig ist) begegnet. Zwar ist diese Einrichtung in der Theorie begrüßenswert, die Praxis lässt jedoch an der Umsetzbarkeit der Idee zweifeln: Zum einen ist diese Ombudsstelle bei der Wahrnehmung ihrer Aufgaben und Weiterverfolgung der eingegangenen Beschwerden von Informationen von anderen US-amerikanischen Aufsichts- und Ermittlungsbehörden abhängig. Zum anderen bestehen große Zweifel an deren Unabhängigkeit – denn ihren offiziellen Sitz hat sie im US-Außenministerium. Weiters sind die Kompetenzen derart stark eingeschränkt, dass die Ombudsstelle weder bestätigen noch bestreiten kann, ob eine Privatperson Ziel einer Überwachungsmaßnahme geworden ist.
Druck aus der EU
Trotz der vielen begrüßenswerten Verbesserungen im Zusammenhang mit der Verarbeitung von EU-Bürgerdaten stimmte das Europäische Parlament im Sommer 2018 für eine Aussetzung des EU-US Privacy Shields. Begründet wurde der Entschließungsantrag im Wesentlichen damit, dass die Datenübertragung in die USA nicht den Erfordernissen des europäischen Datenschutzes genüge.Kritisiert wurde die Unabhängigkeit und die (eingeschränkten) Befugnisse der Ombudsperson und das Fehlen einer Zusicherung, dass personenbezogene Daten von den US-Behörden nicht massenweise und anlassunabhängig erhoben werden.
Damit postulierte das Europäische Parlament der Kommission Untätigkeit und rief diese auf, die USA zu Nachbesserungen zu bewegen.Der Vollständigkeit halber sei angemerkt, dass vom Europäischen Parlament verabschiedete Entschließungsanträge rechtlich nicht bindend sind und es der Kommission daher freisteht, ob sie dem Antrag folgt oder nicht.
Die Reaktion der Kommission – ein Statement mit noch nicht absehbaren Folgen
Dem Ruf nach Handeln folgte die Kommission im Herbst 2018: Turnusgemäß fand nämlich dann die jährliche Überprüfung des EU-US Privacy Shields statt. Im Vordergrund des zweiten jährlichen Überprüfungsberichts vom 19.12.2018 steht die Ernennung einer Ombudsperson auf permanenter Basis – denn ungeachtet der Empfehlung des letzten Jahreswurde noch keine ständige Ombudsperson für den Datenschutz ernannt. In ihrem Bericht bekräftigte die Kommission ihre Forderung und hielt ausdrücklich fest, dass eine Besetzung der Position durch die US-Regierung bis zum 28.2.2019 erwartet wird.
Geschieht dies nicht, wird die Kommission „angemessene Maßnahmen“ iSd DSGVO erlassen: Das heißt, dass das Abkommen mit der US-Regierung betreffend dem EU-US Privacy Shield widerrufen, geändert oder sogar ausgesetzt werden kann. In einem solchen Fall wurde die Kommission in Form eines neuen Beschlusses feststellen, dass das Drittland „kein angemessenes Datenschutzniveau mehr bietet“. Dieser „Nicht-mehr“-Angemessenheitsbeschluss hätte zur Folge, dass jede weitere Übermittlung basierend auf dem EU-US Privacy Shield zu unterlassen wäre. Sollte daher ein solcher Beschluss erlassen werden, wird die Kommission Beratungen mit den USA anstreben, um Abhilfe für die Situation zu schaffen.Was dies konkret bedeutet, ist derzeit noch nicht absehbar; denn die Kommission hat bis dato von der Möglichkeit, Übermittlungen aufgrund eines „Nicht-mehr“- Angemessenheitsbeschlusses auch wieder zu stoppen, noch nie Gebrauch gemacht.
Der Widerruf bzw. die Aussetzung des EU-US Privacy Shields bedeutet aber nicht zwangsläufig, dass jeglicher Datentransfer zu unterlassen ist: So sieht die DSGVO ausdrücklich die Möglichkeit für Übermittlungen in ein nicht sicheres Drittland (was die USA nach Widerruf bzw. Aussetzung des EU-US Privacy Shields wären) vor, sofern sonstige Garantien iSd Art 46 – 49 DSGVO – z.B. Abschluss von Standarddatenschutzklauseln –bestehen.
Ausblick
Mit Spannung wird daher die von der Kommission gesetzte Deadline vom 28.2.2019 verfolgt und europäische Unternehmen sind gut beraten, ihre Datenübermittlungen spätestens im Frühling 2019 nochmals zu evaluieren. Wie bereits erwähnt, bieten sich für die Praxis auch Alternativen zum EU-US Privacy Shield. Insbesondere sind in diesem Zusammenhang die Standarddatenschutzklauseln oder Binding-Corporate-Rules zu nennen. Andere mögliche Alternativen sind Zertifizierungenund sonstige geeignete Garantien iSd Artikel 46 Abs 3 DSGVO, wobei die Details für erstere noch nicht vollständig geklärt sind und für die Vereinbarung der sonstigen geeigneten Garantien eine separate Genehmigung der nationalen Datenschutzbehörde erforderlich ist.
Aus Unternehmenssicht besteht jedenfalls die Notwendigkeit nach Etablierung einer langfristig tragbaren Lösung für den internationalen Datenverkehr. Denn die meisten europäischen datenexportierenden Unternehmen greifen zu Standarddatenschutzklausen, wobei die jüngsten Entwicklungen auch an deren Bestand zweifeln lassen. Denn diese liegen seit Mai 2016 beim EuGH zur Prüfung. Ob die Standarddatenschutzklauseln vor dem EuGH halten, bleibt daher abzuwarten.
Sollten 2019 jedoch sowohl das EU-US Privacy Shield als auch die Standarddatenschutzklauseln als unzureichende Mechanismen für den internationalen Datenverkehr bewertet werden, verringert sich der Gestaltungsspielraum für EU-Unternehmen erheblich und die Praxis wird mehr denn je auf Stellungnahmen von Seiten der Kommission und den nationalen Datenschutzbehörden angewiesen sein.
*Der Kommentar wurde von Johannes Juranel und Ines Freitag verfasst. Johannes Juranek ist Managing Partner bei CMS in Wien, spezialisiert auf IT, Datenschutz, Produkthaftung und Commercial, Commercial Litigation. Ines Freitag ist Associate bei CMS in Wien in den Bereichen Datenschutz, TMC, Commercial.
Be the first to comment