Safe Harbor vs. Privacy Shield

– Bloße Umbenennung oder echte Neuausrichtung?

Der Gerichtshof der Europäischen Union (EuGH) hat im Oktober 2015 die Entscheidung der EU- Kommission in Bezug auf den Transfer personenbezogener Daten aus Europa in die USA auf Basis des Safe Harbor- Abkommens für ungültig erklärt. (EuGH, Urteil vom 6.10.2015- Az.c- 362/14)

Das im Jahr 2000 getroffene Abkommen zwischen der Europäischen Union und der USA garantierte den legalen Transfer personenbezogener Daten von Europäern in die USA. Entschieden wurde dies auf Grundlage der Vorschriften der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie, wonach eine Datenübertragung an Drittländer, welche keinen vergleichbaren Datenschutzmaßstab aufweisen, verboten ist. Um den Datentransfer weiterhin zwischen der EU und den Drittländern, die dem Datenschutzstandard des EU- Rechts nicht entsprechen, sicherstellen zu können, kann die Angemessenheit des Datenschutzes von der EU- Kommission festgestellt werden, vorausgesetzt das Drittland erfüllt bestimmte Anforderugen.
Die USA weist kein mit dem des EU- Rechts vergleichbares Schutzniveau auf. Um die Datenübertragung trotzdem fortführen zu können, entschied die EU- Kommission, dass der USA ein angemessenes Schutzniveau zugesprochen werden kann, wenn diese sich offiziell dazu bereiterklärt, die Safe Harbor- Prinzipien (7 Prinzipien und Antworten auf Häufig- gestellte- Fragen) zu befolgen.

Kritik
Nach dem Beitritt vieler Unternehmen, äußerten sich vermehrt kritische Stimmen in Bezug auf die Einhaltung der Safe Harbor- Vereinbarung. Die Unternehmen hielten sich häufig nicht an die vereinbarten Datenschutzbestimmungen.
Zu diesen Stimmen zählt die des österreichischen Jura- Studenten und Facebook- Nutzers Max Schrems. Seine Daten, so wie die aller in der EU- lebenden Nutzer, werden von dem Unternehmen Facebook, dessen Europasitz sich in Irland befindet, von dort in die USA weitergeleitet. Der Österreicher zweifelte an dem Schutz seiner Daten vor Geheimdiensten und Behörden und reichte Beschwerde bei den irischen Behörden ein. Die Beschwerde wurde jedoch mit der Begründung abgewiesen, Facebook biete durch die freiwillig auferlegten Safe Harbor-Principles einen angemessenen Datenschutzstandard, welcher durch die EU-Kommission festgestellt wurde.
Der irische High Court stellte sich daraufhin die Frage, ob die Prüfung einer Beschwerde durch eine nationale Datenschutzbehörde erlaubt sei, in welcher das durch die EU festgestellte Schutzniveau des Drittlands in Frage gestellt werden würde.

Urteil EuGH
Der EuGH verdeutlichte in seinem Urteil, dass die Entscheidung der Kommission in Bezug auf die Gewährleistung eines angemessenen Schutzniveaus der Drittländer, die Befugnisse der nationalen Datenschutzbehörden nicht außer Kraft setzen könne. Dies ergebe sich schon aus der durch das Charta garantierte Recht auf Schutz personenbezogener Daten. Den nationalen Datenschutzbehörden sei es also erlaubt, in völliger Unabhängigkeit Beschwerden zu prüfen, die das festgestellte Schutzniveau in Frage stellen. Die Kommission hätte weiterhin feststellen müssen, dass die USA ein Schutzniveau hinsichtlich der eigenen Rechtsbestimmungen sichere, welches dem der Union entspreche. Die Speicherung personenbezogener Daten, ohne jegliche Ausnahme oder Unterscheidung, verletze den Kern des Grundrechts auf Achtung des Privatlebens. Zweifle eine Person an der Vereinbarkeit der Entscheidung der Kommission mit dem Schutz auf Privatsphäre, so müssen die nationalen Datenschutzbehörden berechtigt sein, dies zu prüfen. Der EuGH erklärte die Entscheidung der Kommission vom 26.07.2000 für ungültig.

Privacy Shield
Um den Datenaustausch weiter betreiben zu können, einigten sich die EU-Kommission und die USA auf einen Nachfolger für das ungültige Safe Harbor-Abkommen. Das neue Abkommen „Privacy Shield“ soll nun mehr Rechtssicherheit garantieren. Das US- Handelsministerium (Department of Commerce) soll demnach die Verarbeitung personenbezogener Daten aus der EU kontrollieren dürfen. Wie auch bei dem Vorläufer Safe Harbor drohen den Unternehmen Sanktionen bei Verstößen in Bezug auf den Datenschutz. Weiter könne sich nun jeder, der an dem Schutz seiner Daten zweifle, an einen unabhängigen Ombudsmann wenden. Die EU und die USA handelten nun härtere Regelungen aus in Bezug auf die Verarbeitung der Daten, welche auch vor dem US- Recht bestünden. Allerdings äußerten sich auch wieder hinsichtlich der neuen Regelung kritische Stimmen. Privacy Shield sei nichts anderes als eine „Umbenennung“ des Vorläufers und hätte deshalb keine Chance vor dem EuGH. Letztendlich stelle das neue Abkommen wieder nur ein Versprechen zur Einhaltung der Regelungen dar, welches den Rechtsbestimmungen der Union hinsichtlich des Datenschutzes nicht gleichwertig ist.

Ausblick
Ob durch Privacy Shield wirklich Datenschutz gewährleistet wird, bleibt also umstritten. Klingt dieses neue Abkommen eher nach einer „Beruhigungspille“ (so die ehemalige Justizministerin Sabine Leutheusser-Schnarrenberger auf Twitter am 2. Februar 2016: https://twitter.com/sls_fdp?lang=de) und hat sich der EuGH bald wieder damit zu befassen? Es bleibt spannend.

(mit freundlicher Unterstützung von Rima Sybin)