America First – No Privacy for Europeans?

DISCLAIMER: All opinions in this column reflect the views of the author(s), not of EURACTIV.COM Ltd.

EU Europa Nachrichten Trump Krim

US-Präsident Donald Trump zeigt sich überraschend russlandkritisch.

Kaum im Amt, hat Donald Trump sich zum Datenschutz geäußert und damit für Aufruhr gesorgt. Sind personenbezogene Daten von EU-Bürgern in den USA noch sicher? Und dürfen sie weiter übermittelt werden? Fragen, die vor allem für international agierende Unternehmen von Bedeutung sind.

Datenschutz, Europa und die USA sind ein Thema, das seit Jahren immer wieder für Schlagzeilen sorgt. Seit der neue US-Präsident am 25. Januar 2017 eine Executive Order zur inneren Sicherheit unterzeichnete, ist es wieder soweit: US-Präsident Trump gab Behörden die Anweisung, im Rahmen geltenden Rechts diejenigen Personen von den Datenschutzregelungen des Privacy Acts auszuschließen, die nicht US-Bürger oder rechtmäßige Einwohner der USA sind. Im Original lautet die Regelung:

Sec. 14: Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Warum ist der Privacy Shield so wichtig?

Die Übermittlung personenbezogener Daten aus der Europäischen Union (EU) darf nur in Staaten mit einem angemessenen – dem in Europa vergleichbaren – Datenschutzniveau erfolgen. Da in den USA das Datenschutzrecht nicht einheitlich geregelt ist (es bestehen Unterschiede in den einzelnen Bundesstaaten) und ein anderes Verständnis von Datenschutz oder Privacy im Verglich zur EU herrscht, dürfen personenbezogene Daten aus der EU nicht mehr „einfach so“ in die USA übermittelt werden. Das ist ein schwer annehmbarer Zustand für eine globalisierte und vernetzte Welt, in der die Übertragung personenbezogener Daten essentiell ist. Eine Lösung lässt sich auf unterschiedliche Weise finden:

Zunächst kann der Betroffene in die Weitergabe seiner personenbezogenen Daten in die USA einwilligen. Da aber diese Einwilligung von jeder betroffenen Person für jeden Einzelfall vorliegen muss, ist das nicht praxistauglich.

Eine Datenübertragung kann auch auf Grundlage von EU-Model-Clauses erfolgen. Diese Standardklauseln werden von der europäischen Kommission ausgegeben, müssen aber zwischen den Parteien vereinbart werden. Das US-Unternehmen verpflichtet sich damit, die von der EU-Kommission vorgegebenen und vorformulierten Datenschutzstandards einzuhalten. Die Klauseln müssen unverändert übernommen werden. Eine individuelle Abweichung ist nicht möglich.

Als weitere Lösung ist die Aushandlung eines individuellen Vertrages möglich, der die Einhaltung des nötigen Datenschutzniveaus sichert. Dieser muss im Einzelfall von der zuständigen Datenschutzbehörde genehmigt werden, was das Vorgehen in der Praxis erschwert. Noch aufwendiger zu vereinbaren sind die sogenannten Binding Corporate Rules.

Die einfachste und deshalb auch meist gewählte Lösung für die Übertragung personenbezogener Daten in die USA bietet aber das Privacy Shield. Seit August 2016 können sich US-Unternehmen diesem Abkommen zwischen der EU und den USA unterwerfen und verpflichten sich damit durch Selbstzertifizierung zur Einhaltung des entsprechenden Datenschutzniveaus. In der Folge gilt ihr Datenschutzniveau als angemessen. Das US-Unternehmen darf so völlig legal personenbezogene Daten aus der EU empfangen und verarbeiten, ohne dass es einer weiteren Vereinbarung oder einer Zusicherung bedarf. Grundlage für das Inkrafttreten des Privacy Shields waren unter anderem die Begrenzung des Zugriffs von US-Behörden auf personenbezogene Daten und die Garantie von Rechtsmitteln gegen Datenschutzverstöße für EU-Bürger in den USA. Letztere waren unter Safe-Harbour nicht vorgesehen und bestehen erst, seit in den USA der Judicial Redress Act verabschiedet wurde. Diese Regelung ermöglicht, den Schutz des Privacy Acts – eines amerikanischen Gesetzes aus dem Jahre 1974, das US-Bürgern Rechtsschutz bei Datenschutzverletzungen verspricht – auf Angehörige anderer Staaten auszuweiten. Die Ausweitung auf spezifische Länder erfolgt durch Erklärung des Attorney General: Am 17. Januar 2017 erklärte die (nicht mehr im Amt befindliche) Loretta Lynch, der Privacy Act erstrecke sich erstmals auch auf die EU. Diese Regelung ist seit dem 1. Februar 2017 rechtskräftig.

Wirkt sich nun die Executive Order Trumps auf das Privacy Shield aus?

Nach alledem dürfen personenbezogene Daten unter anderem auf Grundlage des Privacy Shields in die USA übermittelt werden, wenn der Datenempfänger dem Privacy Shield beigetreten ist. Daran kann auch Trump nicht rütteln, jedenfalls nicht durch eine Executive Order. Bei der Executive Order handelt es sich um eine verbindliche Anweisung an US-Behörden. Sie soll die Rechtsauslegung und –anwendung durch die Behörden steuern und vereinheitlichen. Diese auf Artikel II der US-Verfassung beruhende Rechtspraxis ist keine Neuheit unter Trump, sondern wurde von fast allen US-Präsidenten als Regierungsmittel wahrgenommen. Eine Executive Order kann widerrufen und vom Nachfolger rückgängig gemacht werden. Vor allem aber darf sie nicht gegen geltendes Recht verstoßen und ist kein Gesetz.

Deshalb können Trumps Worte dem Privacy Shield nichts anhaben. Doch die dem Privacy Shield zugrunde liegende Annahme eines angemessenen Datenschutzniveaus in den USA beruht auf der Umsetzung des Judicial Redress Acts und der Ausweitung des Rechtsschutzes auf EU-Bürger. Solange all diese Regelungen gelten, steht das Privacy Shield auf festem Grund. Sollte sich die Datenschutzlage in den USA ändern – etwa durch die Rücknahme der Erklärung zur Ausweitung der Rechtsmittel auf EU-Bürger durch den neuen Attorney General Jeff Sessions, könnte sich das ändern. Aber auch dann ist das Privacy Shield nicht ad-hoc unwirksam, sondern es bedarf einer Aufhebung durch die EU-Kommission oder den Europäischen Gerichtshof (EuGH).

Zum jetzigen Zeitpunkt dürfen personenbezogene Daten unter anderem auf Grundlage des Privacy Shields in die USA übermittelt werden und sind dort so – gut oder schlecht – geschützt, wie sie es vorher waren. Die zukünftige Entwicklung bleibt abzuwarten.

Michael Strubel ist Rechtsanwalt bei CMS Deutschland und in den Bereichen Intellectual Property und Technology, Media & Communications tätig. Er ist Experte auf dem Gebiet des Datenschutzes und vertritt in diesem Bereich nationale und internationale Unternehmen, insbesondere im Zusammenhang mit neuen digitalen Geschäftsmodellen. Seine Spezialgebiete sind Datenschutz im Internet, Digital-Compliance sowie internationale Aspekte des Datenschutzrechts.

Ricarda Seifert ist Referendarin am Kammergericht Berlin und absolviert ihre Anwaltsstation bei CMS Deutschland. Ihr Interesse gilt insbesondere dem nationalen und internationalen Datenschutzrecht.

Unterstützer

HUAWEI

Huawei Technologies ist einer der weltweit führenden Anbieter von Informationstechnologie und Telekommunikationslösungen

Von Twitter

Subscribe to our newsletters

Subscribe