PRESSEINFORMATION 74/2016

Zum Datentransfer in die USA gibt es aus Sicht des cep immer noch Fragen, sind Zweifel angebracht. „Privacy Shield“ („Datenschutzschild“) soll den Schutz personenbezogener Daten gewährleisten, die zu kommerziellen Zwecken aus der EU an US-Unternehmen übermittelt werden. Er bietet eine neue Rechtsgrundlage für den transatlantischen Datentransfer, nachdem der Europäische Gerichtshof im Oktober 2015 die als „Safe Harbour“ bekannte Kommissionsentscheidung für ungültig erklärt hatte. US-Unternehmen, die sich im Wege der Selbstzertifizierung freiwillig an die Grundsätze des „Privacy Shield“ binden, dürfen demnach personenbezogene Daten von EU-Bürgern zu kommerziellen Zwecken empfangen, speichern und verarbeiten. Auch „Privacy Shield“ ist allerdings kein bilaterales Abkommen, sondern ein einseitiger Beschluss der EU-Kommission nach Art. 25 der EU-Datenschutzrichtlinie, den die Kommission kurz zuvor offiziell erlassen hatte. Dies wurde möglich, nachdem am 8. Juli der Art. 31-Ausschuss Mitgliedstaaten nach längeren internen Debatten dem Entwurf zugestimmt hatte. Mit diesem Beschluss attestiert die Kommission den USA in rechtlicher Hinsicht ein „angemessenes Schutzniveau“ für alle personenbezogenen Daten, die unter dem „Privacy Shield“ aus der EU an zertifizierte US-Unternehmen übermittelt werden. Das bedeutet, dass die so transferierten Daten nach Auffassung der EU-Kommission in den USA im Wesentlichen gleichwertig wie in der EU geschützt sind.

„Genau hieran bestehen jedoch erhebliche Zweifel“, so die cep Expertin Dr. Anja Hoffmann. „Auch wenn die Kommission gegenüber dem ursprünglichen Entwurf des ‚Privacy Shield‘-Beschlusses zahlreiche kleinere Klarstellungen und Verbesserungen (etwa klarere Zweckbindung, Begrenzung der Speicherdauer und verschärfte Pflichten bei Weiterübermittlungen an Dritte) eingearbeitet hat, bleibt die vom cep in einer Studie geäußerte Kritik am „Privacy Shield“ in weiten Teilen bestehen.“

Insbesondere ist der Schutz vor staatlichen Zugriffen auf personenbezogene Daten weiter unzureichend. Aus den hinzugefügten Erläuterungen betreffend massenhafter Datenerhebungen durch US-Behörden ergibt sich nichts Anderes. Auch unter der finalen Version des „Privacy Shield“ bleiben massenhafte Datenerhebungen und -nutzungen möglich. „Zwar sichern die Amerikaner zu, dass Daten grundsätzlich nur ‚so begrenzt wie möglich‘ erhoben werden. Ist eine nähere Differenzierung jedoch nicht praktikabel, ist die Erhebung aber dann offenbar doch zulässig ebenso wie auch die Nutzung, wenn diese unter einen der sechs weit gefassten Sicherheitszwecke fällt“, so Hoffmann. „Dies entspricht aus unserer Sicht nicht dem Standard des EuGH, wonach Zugriffe auf personenbezogene Daten und deren Verarbeitung zum Schutz der nationalen Sicherheit ‚absolut notwendig und verhältnismäßig‘ sein müssen.“ Entsprechend bleibt die Bindung der Unternehmen an die Prinzipien eingeschränkt, soweit dies für äußerst weit gefasste Sicherheitszwecke oder in bestimmten rechtlichen Konfliktfällen erforderlich ist. Es fehlt damit nach wie vor an der vom EuGH geforderten hinreichenden Begrenzung von Grundrechtseingriffen bzw. an „klaren und präzisen Regeln“ für staatliche Eingriffsmaßnahmen.

Trotz der zahlreichen Rechtsschutzmöglichkeiten, die der „Privacy Shield“-Beschluss auflistet, besteht nach Auffassung des cep kein umfassender und wirksamer gerichtlicher Rechtsschutz gegen staatliche Zugriffe. Auch das das Ombudsperson-Verfahren ist nach wie vor unzureichend.

Ob der Kommissionsbeschluss auf lange Sicht Rechtssicherheit schafft, bleibt offen. Angesichts der fortbestehenden Unzulänglichkeiten ist es nicht unwahrscheinlich, dass der EuGH früher oder später auch mit einer Überprüfung des „Privacy Shield“-Beschlusses befasst werden wird.