Fragen und Zweifel zum „Privacy Shield“-Beschluss der EU-Kommission

Dieser „Datenschutzschild“ soll den Schutz personenbezogener Daten gewährleisten, die zu kommerziellen Zwecken aus der EU an US-Unternehmen übermittelt werden. Er bietet eine neue Rechtsgrundlage für den transatlantischen Datentransfer, nachdem der Europäische Gerichtshof im Oktober 2015 die als „Safe Harbour“ bekannte Kommissionsentscheidung für ungültig erklärt hatte. US-Unternehmen, die sich im Wege der Selbstzertifizierung freiwillig an die Grundsätze des „Privacy Shield“ binden, dürfen demnach personenbezogene Daten von EU-Bürgern zu kommerziellen Zwecken empfangen, speichern und verarbeiten. Auch „Privacy Shield“ ist allerdings kein bilaterales Abkommen, sondern ein einseitiger Beschluss der EU-Kommission nach Art. 25 der EU-Datenschutzrichtlinie, den die Kommission kurz zuvor offiziell erlassen hatte. Dies wurde möglich, nachdem am 8. Juli der Art. 31-Ausschuss Mitgliedstaaten nach längeren internen Debatten dem Entwurf zugestimmt hatte. Mit diesem Beschluss attestiert die Kommission den USA in rechtlicher Hinsicht ein „angemessenes Schutzniveau“ für alle personenbezogenen Daten, die unter dem „Privacy Shield“ aus der EU an zertifizierte US-Unternehmen übermittelt werden. Das bedeutet, dass die so transferierten Daten nach Auffassung der EU-Kommission in den USA im Wesentlichen gleichwertig wie in der EU geschützt sind.

Genau hieran bestehen jedoch erhebliche Zweifel. Auch wenn die Kommission gegenüber dem ursprünglichen Entwurf des „Privacy Shield“-Beschlusses zahlreiche kleinere Klarstellungen und Verbesserungen (etwa klarere Zweckbindung, Begrenzung der Speicherdauer und verschärfte Pflichten bei Weiterübermittlungen an Dritte) eingearbeitet hat, bleibt die vom cep in einer Studie geäußerte Kritik am „Privacy Shield“ in weiten Teilen bestehen.

Insbesondere ist der Schutz vor staatlichen Zugriffen auf personenbezogene Daten weiter unzureichend. Aus den hinzugefügten Erläuterungen betreffend massenhafter Datenerhebungen durch US-Behörden ergibt sich nichts Anderes. Auch unter der finalen Version des „Privacy Shield“ bleiben massenhafte Datenerhebungen und -nutzungen möglich. Zwar sichern die Amerikaner zu, dass Daten grundsätzlich nur ‚so begrenzt wie möglich‘ erhoben werden. Ist eine nähere Differenzierung jedoch nicht praktikabel, ist die Erhebung aber dann offenbar doch zulässig ebenso wie auch die Nutzung, wenn diese unter einen der sechs weit gefassten Sicherheitszwecke fällt, finde ich. Dies entspricht aus meiner Sicht nicht dem Standard des EuGH, wonach Zugriffe auf personenbezogene Daten und deren Verarbeitung zum Schutz der nationalen Sicherheit “absolut notwendig und verhältnismäßig“ sein müssen. Entsprechend bleibt die Bindung der Unternehmen an die Prinzipien eingeschränkt, soweit dies für äußerst weit gefasste Sicherheitszwecke oder in bestimmten rechtlichen Konfliktfällen erforderlich ist. Es fehlt damit nach wie vor an der vom EuGH geforderten hinreichenden Begrenzung von Grundrechtseingriffen bzw. an „klaren und präzisen Regeln“ für staatliche Eingriffsmaßnahmen.

Trotz der zahlreichen Rechtsschutzmöglichkeiten, die der „Privacy Shield“-Beschluss auflistet, besteht nach meiner Auffassung kein umfassender und wirksamer gerichtlicher Rechtsschutz gegen staatliche Zugriffe. Insbesondere das Ombudsperson-Verfahren ist nach wie vor unzureichend. Zwar wurden die Kooperationsbefugnisse des Ombudsmanns mit bestimmten Ermittlungsbehörden offenbar gestärkt. Die bestehenden Zweifel an der hinreichenden (politischen) Unabhängigkeit der Ombudsperson werden jedoch auch durch die neue Klarstellung nicht ausgeräumt, dass dieser seine Funktion „objektiv und frei von unangemessenem Einfluss“ ausübe, der sich „auf seine Entscheidung auswirken“ kann. Unklar bleibt schon, welcher Einfluss „unangemessen“ ist. Ferner fehlt es – wie bereits in unserer cepStudie zum Thema kritisiert – weiterhin an der erforderlichen Transparenz der Ombudsmann-Entscheidungen und der wohl fehlenden Möglichkeit von Rechtsmitteln gegen diese. Ungeachtet dessen bleibt fraglich, ob insbesondere die gerichtlichen US-Rechtsbehelfe angesichts der finanziellen Risiken, prozeduralen Einschränkungen („standing“), Sprachbarrieren und zahlreichen intransparenten Ausnahmen im materiellen Recht einen „hinreichenden gerichtlicher Rechtsschutz“ gegen Grundrechtseingriffe bieten können.

Auch die Art. 29-Datenschutzgruppe – eine Zusammenkunft der EU-Datenschutzbehörden –, das Europäische Parlament und der Europäische Datenschutzbeauftragte hatten in den vergangenen Monaten deutliche Kritik am „Privacy Shield“ geäußert und umfangreiche Nachbesserungen gefordert. Die Kommission, die formell nicht an diese Stellungnahmen gebunden war, hat aus meiner Sicht jedoch nur einen kleinen Teil dieser Forderungen umgesetzt. Zwar biete „Privacy Shield“ gegenüber „Safe Harbour“ deutliche Verbesserungen. Wesentliche Unzulänglichkeiten, darunter die oben bereits angesprochenen Punkte, wurden jedoch nicht ausgeräumt. Abzuwarten bleibt, wie die Europäischen Datenschutzbehörden hierauf reagieren. Nach Presseinformationen wollen sie sich Ende des Monats zum neuen „Privacy Shield“-Beschluss äußern.

Laut Pressekonferenz wollen Kommission und US-Handelsministerium nun zügig dafür sorgen, dass „Privacy Shield“ in der Praxis angewendet werden kann. Bereits ab dem 1. August 2016 will das US-Handelsministerium Zertifizierungen von Unternehmen akzeptieren. Die Kommission will die verschiedenen Rechtsschutzmöglichkeiten in einem Leitfaden für Bürger erläutern.

Ob der neue Kommissionsbeschluss auf lange Sicht Rechtssicherheit schafft, bleibt offen. Angesichts der fortbestehenden Unzulänglichkeiten ist es nicht unwahrscheinlich, dass der EuGH früher oder später auch mit einer Überprüfung des „Privacy Shield“-Beschlusses befasst werden wird. Das letzte Wort in Sachen transatlantischer Datentransfer ist damit auch mit dem neuen Beschluss der Kommission noch nicht gesprochen.

Dr. Anja Hoffmann, LL.M. Eur., hoffmann(at)cep.eu