Ist der EU-US-Privacy-Shield in Gefahr?

Datenübermittlungen in die USA ein No-Go?

| Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Datentransfers in die USA sind spätestens seit dem Datenskandal um Facebook und Cambridge Analytica ein sensibles Thema und das EU-US-Privacy-Shield scheint nicht zu wirken.
Datentransfers in die USA sind spätestens seit dem Datenskandal um Facebook und Cambridge Analytica ein sensibles Thema und das EU-US-Privacy-Shield scheint nicht zu wirken. (Bild: Pixabay / CC0)

Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Daten­trans­fers aus der EU in die USA kritisch betrachtet. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheits­beschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssicher. Unternehmen sollten andere Rechtsgrundlagen für den Datentransfer in die USA wählen.

Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern. Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art.45 Abs.3 EU-DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird. In einem solchen Fall kann die Kommission bestätigen, dass das Datenschutzniveau im Drittland „angemessen“ ist, weshalb die Übermittlung von personenbezogenen Daten an Unternehmen oder Mitglieder der eigenen Unternehmensgruppe in diesem Drittland nicht gegen die DSGVO verstößt.

Beispiel für ein entsprechendes Vorgehen ist der Angemessenheitsbeschluss der EU-Kommission in Bezug auf das EU-US Privacy Shield. Der Angemessenheitsbeschluss der EU-Kommission setzt aber nicht zwingend ein Übereinkommen mit einem Drittland voraus. Gemäß Art. 45 DSGVO kann die Kommission einen solchen Beschluss auch dann fassen, wenn sie allgemein zu der Auffassung gelangt, dass ein angemessenes Schutzniveau im Drittland besteht. Berücksichtigt werden dabei unter anderem die Menschenrechtssituation, Grundfreiheiten, Datenschutzvorschriften, Struktur der Aufsichtsbehörden und internationalen Verpflichtungen des Drittlandes.

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

Die USA verschärfen Überwachung von Internet-Diensten

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

23.04.18 - Seit dem 23 März gilt in den USA der „Cloud Act“. Das Gesetz verschärft die bisherige Überwachungspraxis im Cloud Computing. Betroffene Provider und Anwender haben weniger Rechte. lesen

Was ist der EU-US Privacy Shield?

Als Angemessenheitsbeschluss ermöglicht der EU-US-Privacy-Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU-Privacy-Shield gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen. Gleiches gilt für Datentransfers innerhalb einer Unternehmensgruppe, wenn ein Tochterunternehmen in den USA niedergelassen ist.

Weshalb ist der EU-US-Privacy-Shield in Gefahr?

Ausgangspunkt der Infragestellung des EU-US-Privacy-Shields war der Regierungswechsel in den USA und die Präsidentschaft von US-Präsident Donald Trump.

Grundlage für den EU-US Privacy Shield waren einige inneramerikanische Rechts- und Gesetzesänderungen im Jahr 2016. Insbesondere konnten sich (bestimmte, u.a. deutsche) EU-Bürger auf US-Rechte nach dem amerikanischen „Privacy Act“ direkt an US-Justizbehörden wenden. Diese Rechts- und Gesetzesänderungen scheinen durch eine „Executive Order“ von US-Präsident Trump vom 25. Januar 2017 gefährdet, nach der „auf der Grundlage des geltenden Rechts“ [u.a.] der Schutz aus dem Privacy Act Nichtstaatsangehörigen der USA nicht mehr zugutekommen soll. Bisher ist nicht eindeutig geklärt, ob EU-Bürger damit gerade aus dem Schutz des US-Privacy-Act herausfallen oder gerade weiterhin davon profitieren, weil ihre Einbeziehung in den Privacy -Act gerade „geltendem Recht“ entspricht.

Supreme Court stellt Microsoft-Verfahren ein

Die Folgen des Cloud Acts für den Datenschutz

Supreme Court stellt Microsoft-Verfahren ein

24.04.18 - Cloud Act, zweiter Teil: Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist letzte Woche vom Obersten Gerichtshof der Vereinigten Staaten eingestellt worden. Was sich zunächst positiv anhört, könnte weitreichende Auswirkungen auf das internationale Cloud Business haben - Stichwort Datenschutz. lesen

Für Unternehmen gilt es abzuwarten, welche Auslegung des US-Privacy-Act sich etabliert. Grundsätzlich besteht nach wie vor ein wirksamer Angemessenheitsbeschluss der Kommission bezüglich des EU-US-Privacy-Shield, allerdings war die Anordnung des US-Präsidenten Ausgangspunkt für viele Debatten zu dessen Effektivität.

Die Artikel-29-Datenschutzgruppe, deren Stellungnahmen gewichtige Bedeutung bei der Auslegung der DSGVO zukommt, erklärte in ihrer Stellungnahme „EU-US-Privacy Shield- First annual Joint Review“ vom 28. November 2017, dass trotz des Privacy Shield in vielen Punkten Zweifel an einem mit der EU vergleichbaren Datenschutzniveau bezüglich der Daten von EU-Bürgern in den USA bestünde.

Insbesondere die fehlende Überprüfung der Einhaltung eines mit der EU vergleichbaren hohen Datenschutzniveaus durch unabhängige Aufsichtsbehörden in den USA wird bemängelt. Zudem bestehen Unterschiede in der Auslegung zentraler Begriffe des Privacy-Shield wie etwa „HR Data“ zwischen US- und EU-Behörden. Auch die Regelung für automatische Entscheidungsfindung/Profiling sei nicht ausreichend und spezifisch genug getroffen worden, um den besonderen Gefahren der automatischen Entscheidungsfindung zu begegnen. Außerdem kritisiert die Datenschutzgruppe, dass es keine Überprüfungsmöglichkeit für unter Umständen trotz Privacy-Shield erfolgende, unrechtmäßige Datensammlungen durch US-Behörden von Daten von EU-Bürgern gibt. Dazu passt, dass US-Finanz- und Strafverfolgungsbehörden aktuell Ausnahmen vom EU-Datenschutzrecht begehren. Zudem fehle es an einer unabhängigen und effektiven Funktion einer Ombudsperson speziell für Beschwerden von EU-Bürgern in den USA.

Unter anderem wegen dieser Kritikpunkte forderte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlamentes der Europäischen Union (LIEBE) mit einer Resolution die Kommission dazu auf, den EU-US-Privacy-Shield zum 1. September 2018 auszusetzen, nachzubessern und neu zu verhandeln. Im Anschluss an diese Forderung beschloss das Europäische Parlament in einem Entschließungsantrag vom 26.06.2018 der Forderung des LIBE-Ausschusses stattzugeben. Zudem kritisierte die EU-Justizkommisarin Jourova Ende Juli 2018 das in den USA praktizierte Datenschutzniveau und setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy Shields. Angesichts der oben genannten Anordnung von US-Präsident Donald Trump kann als unwahrscheinlich eingeordnet werden, dass ein neuer EU-US-Privacy Shield zustande kommt, geschweige denn ein höheres Datenschutzniveau aufweist, als der Bisherige.

Insgesamt können Datentransfers aktuell noch auf den Privacy-Shield gestützt werden, allerdings kann dieser durch Beschlüsse der Kommission oder Urteile des EuGHs in naher Zukunft vor dem Aus stehen. Unternehmen sollten daher Datentransfers in die USA auf eine andere Grundlage stellen.

Welche Alternativen gibt es zum EU-US-Privacy-Shield für Datenübertragungen von der EU in die USA?

Alternativen zum EU-US-Privacy-Shield bestehen gemäß Artikel 46 DSGVO reichlich. Innerhalb der eigenen Unternehmensgruppe bieten sich vor allem Binding Corporate Rules als Lösung für den Datentransfer in die USA an. Außerhalb der eigenen Unternehmensgruppe kommen vor allem Standardvertragsklauseln in Betracht. Außerdem bieten sich genehmigte Verhaltensregeln (Code of Conducts) und ISO-zertifizierte Genehmigungen als Lösung an.

Fazit und Ausblick

Die mediale Aufmerksamkeit, die dem Datenskandal um Facebook und Cambridge Analytica zuteilwurde, belegt, dass Datentransfers in die USA aktuell ein besonders sensibles Thema darstellen. Der Entschließungsantrag der EU kann daher als Fingerzeig für den Anfang vom Ende vom EU-US-Privacy-Shield verstanden werden. Unternehmen, deren Datenempfänger innerhalb dieses Beschlusses gelistet sind, können diesen damit weiter als Grundlage für Datentransfers in die USA nutzen, sollten allerdings rechtzeitig eine alternative Rechtsgrundlage in Betracht ziehen. Ohne den Privacy-Shield gelten die USA als „nicht sicheres Drittland“, sodass Datentransfers ohne Rechtsgrundlage einen Verstoß gegen die DSGVO bedeuten und mit hohen Bußgeldern belegt werden.

Simone Rosenthal
Simone Rosenthal (Bild: SWD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45428094 / Compliance und Datenschutz )