03.02.16

Stabiler Schutzschild für die Daten?

Die EU-Kommission und die USA haben sich politisch auf einen neuen Rechtsrahmen für transatlantische Datentransfers geeinigt. Wenn die Texte vorliegen, wird genau zu prüfen sein, ob die neue Entscheidung den Vorgaben des Europäischen Gerichtshofs Stand hält. Derzeit erscheint dies mehr als fraglich.

Die EU-Kommission und die USA haben sich politisch auf einen neuen Rechtsrahmen für transatlantische Datentransfers geeinigt. Auf der Basis eines sogenannten „EU-US Privacy Shields“ sollen Justizkommissarin Jourová und Kommissionsvizepräsident Ansip nun eine neue Angemessenheitsentscheidung ausarbeiten.

Bereits jetzt von Rechtssicherheit für Unternehmen zu sprechen, ist jedoch fehl am Platz. Die Einigung basiert offenbar zu einem wesentlichen Teil auf einer schriftlichen Zusage der USA , die nach Medienangaben aus der Feder des US-Geheimdienstdirektors James Clapper stammt. Darin erklärt sich die USA bereit, den Zugriff auf personenbezogene Daten europäischer Bürger durch US-Behörden zum Zwecke der Rechtsdurchsetzung und nationaler Sicherheit klaren Begrenzungen, Sicherheiten und Überwachungsmechanismen zu unterwerfen. Anlasslose Massenüberwachungen soll es künftig nicht mehr geben; Ausnahmen vom Datenschutz sollen nur angewendet werden, soweit dies notwendig und verhältnismäßig ist.

Um das Rechtsschutzdefizit europäischer Bürger zu beenden, sollen ferner verschiedene Rechtsbehelfe eingeführt werden. Betroffene sollen zunächst Beschwerde bei dem Unternehmen erheben, die innerhalb einer Frist hierauf antworten müssen. EU-Datenschutzbehörden können Beschwerden an das US-Handelsministerium und an die FTC verweisen. Es soll eine kostenlose alternative Streitbeilegung geben. Schließlich soll sich ein neuer Bürgerbeauftragter (Ombudsmann) mit Beschwerden von EU-Bürgern wegen des Zugriffs durch US-Geheimdienste befassen. Die Funktionsweise des neuen Systems wird jährlich überprüft.

Zwar sind die Zusagen der USA insgesamt zu begrüßen. Kritisch zu sehen ist allerdings, dass die unter dem „EU-US Privacy Shield“ vorgeschlagenen Maßnahmen ausreichend sein sollen, um den USA ein der Sache nach gleichwertiges Datenschutzniveau wie in der EU zu bescheinigen. Genau dies müsste die EU-Kommission in der angekündigten Entscheidung aber feststellen.

Der Europäische Gerichtshof (EuGH) hat im „Schrems-Urteil“ hohe Hürden für eine solche Angemessenheitsentscheidung aufgestellt. Die EU-Kommission muss hierzu die Rechtslage in den USA nach Umsetzung der Versprechungen des „Privacy Shields“ umfassend prüfen und bewerten, ob dort hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen nunmehr ein gleichwertiges – und damit angemessenes – Niveau wie in der EU besteht. Dabei ist der ihr Bewertungsspielraum nach Ansicht des EuGH wegen der hohen grundrechtlichen Relevanz des Datenschutzes und der großen Zahl potentieller Betroffener eingeschränkt. Die EU-Kommission muss daher strikt kontrollieren, ob die Anforderungen der Datenschutzrichtlinie im Lichte der EU-Grundrechtscharta erfüllt sind.

Auch inhaltlich hat der EuGH klare Vorgaben gemacht und insbesondere eine klare Begrenzung von Grundrechtseingriffen auf bestimmte, strikt beschränkte Zwecke und auf ein absolut notwendiges und verhältnismäßiges Maß gefordert. Unklar ist, welche rechtliche Bindungswirkung die „schriftlichen Zusagen“ – insbesondere auch nach den US-Präsidentschaftswahlen – tatsächlich haben und wie diese umgesetzt werden sollen, und ob die amerikanischen Beschränkungen dem europäischen Verständnis von Verhältnismäßigkeit Rechnung tragen werden.

Zweifelhaft ist auch, ob die im „Privacy Shield“ vorgeschlagenen Rechtsbehelfe ausreichen. Aus dem „Schrems-Urteil“ ergibt sich auch, dass wirksame Überwachungs- und Kontrollmechanismen und ein effektiver gerichtlicher Rechtsschutz (auch) gegen staatliche Eingriffe unabdingbar sind. Gerichtliche Rechtsbehelfe werden in der Pressemitteilung der Kommission jedoch nicht erwähnt.

Erforderlich wäre aber eine gesetzliche Regelung in den USA. Der Entwurf eines Judicial Redress Act, der europäischen Bürgern zu begrenzten Klagerechten unter dem US Privacy Act verhelfen würde, wurde in der vergangenen Woche vom US-Senat jedoch weiter zuungunsten der europäischen Bürger eingeschränkt. Ungeachtet dessen ist fraglich, ob ein einzelner Ombudsmann effektiven Rechtsschutz gegen behördliche Datenzugriffe gewährleisten kann.

Im Einzelnen ist also noch vieles unklar; Texte sind bislang nicht bekannt. Wenn die Texte vorliegen, wird genau zu prüfen sein, ob die neue Entscheidung den Vorgaben des EuGH Stand hält. Derzeit erscheint dies mehr als fraglich. Abzuwarten bleibt, wie die Art. 29-Datenschutzgruppe auf die Einigung reagieren wird, die aktuell in Brüssel tagt. Vermutlich wird es eine Verlängerung der Schonfrist für Unternehmen geben, bis die neue Entscheidung der EU-Kommission ausgearbeitet ist.

Dr. Anja Hoffmann, Fachbereich Verbraucherschutz, Zivil- und Verfahrensrecht, hoffmann(at)cep.eu