Am 06.10.2015 erklärte der Europäische Gerichtshof das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der Europäischen Union für rechtswidrig, da die Daten europäischer Nutzer auf amerikanischen Servern nicht sicher seien.

Daraufhin handelten die Europäische Union und die USA ein neues Abkommen aus. Hiernach sollen Daten, die aus der Europäischen Union in die USA übermittelt werden, besser geschützt werden. Erste schriftliche Entwürfe des Safe-Harbor-Nachfolgers legte die EU-Kommission am 29.02.2016 vor.

Das neue Abkommen zur Datenübermittlung zwischen der Europäischen Union und den USA trägt den Namen „EU-US Privacy Shield“. Diese Vereinbarung soll die rechtliche Grundlage zur Übermittlung personenbezogener Daten aus einem Mitgliedstaat der Europäischen Union an Unternehmen in den USA bilden. Zudem soll das Abkommen eine massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden verhindern, so die EU-Kommission.

Eine endgültige Entscheidung in Hinblick auf das EU-US-Privacy-Shield-Abkommen steht derzeit noch aus, da der Entwurf sowohl den Datenschutzbehörden der EU-Mitgliedsstaaten, den Mitgliedsstaaten selbst sowie dem Europäischen Parlament und dem Europäischen Rat zur Prüfung vorliegt. Inzwischen gibt es allerdings viele Kritiker, unter anderem deutsche Verbraucherschützer und Datenschutzbeauftragte, die das Abkommen ablehnen und Nachbesserungen fordern.

Kernpunkte des EU-US-Privacy-Shield

  • Selbstverpflichtung von US-Unternehmen zur Einhaltung angemessener Datenschutzregeln, damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird.
  • Rechtsschutzmöglichkeiten für EU-Bürger in einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein zertifiziertes Unternehmen hiergegen verstößt.
  • Sanktionen für zertifizierte Unternehmen, die gegen Datenschutzregeln verstoßen.
  • Entscheidungen von Europäischen Datenschutzaufsichtsbehörden sollen von US-Unternehmen, die sich auf das EU-US-Privacy-Shield-Abkommen verpflichteten, akzeptiert und befolgt werden.
  • Jährliche Evaluierung des EU-US Privacy-Shield-Abkommens durch die EU und die USA.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden. Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben, sowie einer Überwachung unterliegen. Zudem soll der Zugriff auf Einzelfälle beschränkt sein (kein massenhafter Datenabgriff).

Sechs Ausnahmen für eine „massenhafte“ Datenerfassung

Zugleich wird aber, entgegen der Ansage der Kommission, nach wie vor eine „massenhafte“ Datenerfassung in sechs Fällen gestattet. Die US-Behörden definieren sechs Gründe, die eine Datenüberwachung erlauben:

  • Abwehr von internationaler Spionage
  • Terrorismusbekämpfung
  • Das Interesse der Vereinigten Staaten an der Entwicklung, dem Besitz sowie der Verbreitung und Verwendung von Massenvernichtungswaffen
  • Schutz vor Cyber-Bedrohungen
  • Abwehr von Gefahren für US-Streitkräfte und der Alliierten
  • Bekämpfung transnationaler krimineller Bedrohungen, einschließlich illegaler Finanzierungen und der Flucht vor Sanktionen wegen Steuerhinterziehung

Einsatz eines Ombudsmanns

Laut den veröffentlichten Dokumenten soll auch ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger zunächst wenden können, wenn sie Beschwerden oder Nachfragen zu der Handhabe ihrer Daten durch US-Sicherheitsbehörden haben. Die Federal Trade Commission (kurz FTC) will zudem strenger darauf achten, dass die beteiligten Unternehmen ihre Zusagen einhalten.

Im Falle einer Beschwerde hat die Beantwortung durch die beteiligten Unternehmen binnen 45 Tagen zu erfolgen. Erhält der Betroffene innerhalb dieser Frist keine Rückmeldung, so steht ihm sowohl ein kostenloses Schiedsverfahren als auch eine Beschwerde bei nationalen Datenschutzbeauftragten offen.

Fazit

Die Kritik an dem Abkommen dürfte derzeit nicht ganz unbegründet sein, da dieses weiterhin einige Schwachstellen aufweist. Ein Kritikpunkt könnte sich dadurch ergeben, dass das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht und die EU-Kommission somit keine Handlungsmöglichkeiten gegenüber nicht zertifizierten Unternehmen haben dürfte.

Diese Problematik sollte sich allerdings ab 2018 mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ändern, denn dann greift innerhalb der gesamten Europäischen Union das Marktortprinzip. Bieten US-Unternehmen Waren und Dienstleistungen an EU-Bürger an und haben in diesem Rahmen Zugriff auf personenbezogene Daten, so müssen sie sich, entsprechend des Marktortprinzips, an die europäischen Grundsätze halten.

Ein weiter Punkt ist der Einsatz des Ombudsmanns. Stellen Betroffene Datenschutzverletzungen fest, so ist eine unparteiische Ansprechperson sicherlich sinnvoll, jedoch ist zu erwarten, dass Betroffene nicht immer über einen Datentransfer informiert werden. Auch kritisieren Verbraucherschützer die Schiedsverfahren, die nach US-Recht verhandelt werden sollen und zu erheblichen Anwaltskosten führen. Trotz der vielen Kritik erfasst das Abkommen wichtige Ansätze für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA und es ist abzuwarten, wie die einzelnen Instanzen im Hinblick auf das EU-US-Privacy-Shield entscheiden, wobei die ersten Äußerungen  des europäischen Datenschutzbeauftragten und des europäischen Parlaments zum EU-US-Privacy-Shield sehr kritisch waren.

Was ist Unternehmen zu raten?

Unternehmen sollten sich über aktuelle Entwicklungen informieren und ihre Datenübermittlungen bei Bedarf anpassen. „Safe Harbor“ basierte Datenübermittlungen in die USA werden von den Datenschutzaufsichtsbehörden bei Bekanntwerden aufgegriffen und geahndet. Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) führte erst kürzlich Prüfungen bei 35 international agierenden Hamburger Unternehmen durch. Im Ergebnis erhielten zumindest drei Unternehmen Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Es ist daher wichtig auf eine geeignete Rechtsgrundlage umzustellen (z. B. Standardvertragsklauseln).

Ähnliche Beiträge