Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.

Behörden prüfen internationalen Datenexport

Zehn deutsche Landesbehörden für die Datenschutzaufsicht beginnen im November mit der Überprüfung des Datenexport in das Nicht-EU-Ausland durch Unternehmen. Die Maßnahme verläuft schriftlich und nach dem Zufallsprinzip. Betroffen sind ca. 500 Unternehmen aller Größen und Branchen.

Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung bekannt gab, werden zehn Landesbehörden, die zuständig für den Datenschutz sind, beginnend im November Unternehmen überprüfen, die personenbezogene Daten aus der EU hinaus exportieren. Darunter fallen bspw. Datenübermittlungen in die USA.

Datenexport wird umfangreich überprüft

Von der Überprüfung kann de facto jedes Unternehmen betroffen sein. Die Behörden gehen nach dem Zufallsprinzip vor und beziehen in die mögliche Auswahl bewusst Unternehmen jeder Größenordnung und Branchenzugehörigkeit ein. Von der schriftlichen Überprüfungen werden ca. 500 Unternehmen betroffen sein, so das BayLDA.

Cloud Computing und Drittanbieter im Fokus

Die Behörden richten ihr Augenmerk insbesondere auf Unternehmen, die für den Datenexport Cloud Computing nutzen. Gerade der Einsatz von Software as a Service-Produkten (SaaS) interessiert die Datenschützer. Auch die Inanspruchnahme von externen Dienstleistern ist Teil der Überprüfung. Gezielt fragen die Behörden nach deren Beteiligung in den Bereichen Support, Fernwartung, Ticketing, Customer Relationship Management und Bewerbermanagement.

Ziel ist Sensibilisierung

Die Unternehmen müssen zudem die datenschutzrechtliche Grundlage angeben, auf deren Basis die Übermittlung der Daten in einen Nicht-EU-Staat erfolgt. Ziel der Behörden ist primär die Sensibiliserung der betroffenen Unternehmen für das Thema und damit verbundene Probleme. Werden Mängel festgestellt, müssen sich die entsprechenden Unternehmen auf die Aufforderung zur Mängelbeseitigung unter Androhung von Bußgeldern einstellen.

 

Klage gegen Privacy Shield eingereicht

Digital Rights Ireland hat Klage gegen das kürzlich angenommene Abkommen EU-US Privacy Shield eingereicht. Bereits nach zwei Monaten wird Privacy Shield nun zum Fall für die europäischen Gerichte.

Privacy Shield unter Beschuss

Eingereicht wurde eine Nichtigkeitsklage nach Art. 263 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) von der Lobbygruppe Digital Rights Ireland Ltd. Als erstinstanzliches Gericht ist das Europäische Gericht (EuG) zuständig, das die Rechtssache unter dem Aktenzeichen T-670/16 verhandelt. Die zweite Instanz wäre dann der Europäische Gerichtshof (EuGH).

Tauziehen um Datenexport in die USA geht weiter

Mit der eingereichten Klage geht das Tauziehen um den Datenexport aus der EU in die USA in die nächste Runde. Unternehmen haben während des Verfahrens, wenn überhaupt, eine wackelige Rechtssicherheit, die aber kaum ein langfristiges Planen auf Basis des neuen Abkommens ermöglicht. Viele Kritiker von Privacy Shield bezweifeln ein Standhalten des Abkommens bei einer Überprüfung durch den EuGH. Unternehmen müssen sich auf eine anhaltende unklare Rechtslage einstellen.

EU-US Privacy Shield verabschiedet

Die EU und die USA haben das neue Datenschutz-Abkommen EU-US Privacy Shield verabschiedet. Es ersetzt das vom EuGH für ungültig erklärte Abkommen Safe Harbor. Kritiker bemängeln, dass zentrale Probleme nicht beseitigt worden seien.

EU-Mitgliedsstaaten und Kommission nehmen Privacy Shield an

Nach mehreren Monaten Verhandlung haben sich die EU und die USA auf ein neues Abkommen zum Datentransfer geeinigt. Das neue Abkommen legt neue Schutzstandards für den Datenverkehr zwischen der EU und den USA fest. Die EU-Kommission vertritt die Auffassung, dass die vom Europäischen Gerichtshof (EuGH) monierten Probleme beseitigt wurden. Unter anderem soll das massenhafte Sammeln von Daten nur noch in wenigen Fällen und unter strengeren Voraussetzungen gestattet sein. Nicht alle EU-Mitgliedsstaaten dürften der Ansicht der Kommission folgen. Bei der Abstimmung enthielten sich Österreich, Kroatien, Slowenien und Bulgarien.

Für das neue Abkommen können sich Unternehmen beim US-Handelsministerium registrieren, wenn sie die Datenschutzstandards erfüllen und dies selber nachweisen können. Das Ministerium überprüft, anders als bei Safe Harbor, nun aktiv das Einhalten der geltenden Bestimmungen.

Aktueller Status: massive Kritik, Deutschland will kein Klagerecht für Behörden

Nach einer anfangs schleppenden Nachfrage füllt sich die Liste der zertifizierten Unternehmen auf der Homepage des Abkommen zusehends. Gleichzeitig wurde massive Kritik an dem Abkommen laut. Der Jurist Max Schrems, dessen Klage zum Safe Harbor-Urteil des EuGH geführt hatte, mahnte eine mangelnde Umsetzung der richterlichen Vorgaben an. Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sieht in Privacy Shield einen Verstoß gegen geltendes EU-Recht, einer Überprüfung durch den EuGH werde das Abkommen nicht standhalten. Besonders das massenhafte Sammeln von Daten zur Abwehr von Gefahren für die nationale Sicherheit steht weiterhin in der Kritik.

Den europäischen Datenschutzbeauftragten geht zudem die Schaffung der neuen Ombudsstelle nicht weit genug, an die sich EU-Bürger wenden können. Sie wollen nach einem Jahr die Effektivität der neuen Regelungen genau prüfen. Industrieverbände begrüßen hingegen Privacy Shield und bauen auf eine benötigte Rechtssicherheit.

Klagerecht für Behörden wird zum Streitpunkt

Innerhalb der Bundesrepublik Deutschland bahnt sich zudem ein weiterer Streitpunkt an. Der Bundesrat hatte die Bundesregierung aufgefordert, einen Gesetzentwurf für ein Klagerecht der Datenschutzbehörden vorzulegen. Allerdings soll sich dieses Klagerecht auf Verstöße gegen das Abkommen beschränken. Ein Klagerecht für die Behörden gegen Angemessenheitsentscheidungen der Kommission – womit bspw. das Abkommen als solches angegriffen werden könnte – oder eine solches Recht in Vertretung für die Bundesrepublik Deutschland will die Bundesregierung den Behörden nicht einräumen.

Keine Rechtssicherheit bei Datentransfer in die USA

Im Ergebnis gibt es damit zwar einige rechtliche Instrumente, die den Datentransfer in die USA ermöglichen wie das EU Privacy Shield oder z.B. die EU Standard Model Contracts. Jedoch gibt es kein einziges Instrument, das derzeit gerade nicht einer gerichtlichen Prüfung unterzogen werden wird. Damit bleibt der Datenaustausch weiterhin rechtlich unsicher und es wäre begrüßenswert, wenn die Gerichte hier nun schnell für Rechtssicherheit sorgen würden.