Privacy Shield – kommt jetzt ein „legaler Nachfolger“ zu Safe Harbor?

Die Übermittlung von Daten an internationale Clouds bedarf stets einer rechtlichen Legitimation. Gerade bei Transfers in unsichere „Drittstaaten“, wie die USA von der EU in datenschutzrechtlicher Hinsicht eingestuft wurde, hatten die meisten Anbieter auf die „Safe Harbor“-Selbstzertifizierung gesetzt. Im Oktober 2015 waren 4410 US-Firmen nach „Safe Harbor“ zertifiziert, darunter auch die großen Cloud-Anbieter wie Microsoft, Apple, Adobe und Google. Am 06.10.2015 hat der Europäische Gerichtshof (EuGH) diese Regelung zum Austausch von Daten zwischen den USA und der EU jedoch in seinem „Facebook-Urteil“ faktisch für ungültig erklärt.

Auch Inkrafttreten und Inhalte der von der EU-Kommission am 02.02.2016 unter dem Arbeitstitel „Privacy Shield“ vorgestellten Ersatzlösung zu „Safe Harbor“ sind noch weitgehend unklar. Der Privacy Shield ist bislang bloße politische Absichtserklärung und stellt somit noch keine Rechtsgrundlage zur Übermittlung personenbezogener Daten in die USA dar. Während aber die Wirtschaft eine solche schnelle politische Einigung zwischen der EU und den USA geradezu herbeisehnt, werden die bisherigen Inhalte in Fachkreisen überwiegend als nicht hinreichend angesehen.

Die EU-Kommission kommt in ihrem Entwurf einer Angemessenheitsentscheidung zwar zu dem Ergebnis, dass der Rechtsrahmen des Datenschutzschilds den Vorgaben des EuGH gerecht werde. Die US-Regierung habe überzeugende Zusicherungen dahingehend abgegeben, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet werde und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachten.

Es verbleiben jedoch auch weiterhin massive Einschränkungen, insbesondere die „Presidential Policy Directive 28“, die die Nutzung „massenhafter“ Datenerfassung für bestimmte Zwecke im Bereich der nationalen Sicherheit gestatte, wie etwa die Terrorismusbekämpfung, die Spionageabwehr, das Verhindern der Verbreitung von Massenvernichtungswaffen sowie “internationale kriminelle Bedrohungen“.

Vor dem Hintergrund dieser fortbestehenden Abschöpfungsoptionen sowie der Möglichkeit einer Erweiterung der behördlichen durch einen neuen Präsidenten bzw. eine neue Präsidentin bestehen deutliche Zweifel an der juristischen Belastbarkeit der Feststellungen der EU-Kommission. Es bleibt daher abzuwarten, wie sich die Vertreter der Mitgliedstaaten sowie die Art. 29-Gruppe positionieren werden, die von der Kommission vor der Beschlussfassung konsultiert werden.

Für Zündstoff sorgt in diesem Kontext auch das Microsoft-Verfahren in den USA, von dem grundsätzliche Aussagen zu den Pflichten von Unternehmen in Bezug auf die Herausgabe von Daten an US-Sicherheitsbehörden erwartet werden. Das Microsoft-Urteil dürfte in seinen Wirkungen ähnlich weit reichen wie das Safe Harbor-Urteil des EuGH und damit auch für Zustandekommen und Inhalte des EU-US Privacy Shields von maßgeblicher Bedeutung sein. Bislang jedenfalls (Stand März 2016) konnten bei den Verhandlungen mit den USA teilweise noch lückenhafte, inhaltlich zudem datenschutzrechtlich fragwürdige Kompromisse vorgestellt werden. Viele der Hauptstreitpunkte sind weiterhin ungelöst, was die Besorgnis erhöht, dass auch eine Neuregelung vom EuGH für unwirksam erklärt wird.

Bis zum Inkrafttreten einer juristisch belastbaren Nachfolgeregelung besteht das datenschutzrechtliche „Interregnum“ fort. Eine Übermittlung auf Basis des Safe Harbor-Abkommens bleibt daher rechtswidrig; es drohen unter anderem Bußgelder von mehreren hunderttausend Euro. Rechtssicherheit ist auch von den Datenschutzbehörden nicht zu erwarten, die in unterschiedlicher Weise mit der Situation umgehen. Mit Blick auf „Privacy Shield“ räumen einige den Unternehmen derzeit noch eine „Schonfrist“ ein und beschränken sich vor weiteren aufsichtsrechtlichen Maßnahmen und Sanktionen darauf, den Unternehmen Anhörungskataloge zu ihrer Datenschutzpraxis zuzustellen, andere leiten bereits erste Bußgeldverfahren ein.

Unbeschadet dessen verbleibt der Wirtschaft jedoch das weitere Risiko, dass Mitbewerber, Verbraucherschutzbehörden, Betroffene oder – „befeuert“ durch das neue Verbandsklagerecht–Verbände mit Abmahnungen, Unterlassungsverfügungen und Unterlassungsklagen gegen den rechtswidrigen Umgang mit personenbezogenen Daten vorgehen.

Autor: Dr. Jens Bücking

Autor: Dr. Jens Bücking

Rechtsanwalt
Fachanwalt für IT-Recht

Senior Partner bei esb Rechtsanwälte Emmert Bücking Speichert Matuszak-Lesny (Adwokat) Partner­schafts­gesell­schaft mit beschränkter Berufshaftung


Veröffentlicht am 09.03.2016
unter #Allgemein