Die Europäische Kommission das "Privacy Shield" verabschiedet, das den Datenverkehr zwischen den USA und Europa regeln soll. Wie beurteilen Sie das "Privacy Shield"?
Das Privacy Shield ist insofern ein großer Fortschritt als sich die US-Regierung dazu veranlasst sah, Zugeständnisse in Bezug auf den Umgang mit personenbezogenen Daten von EU-Bürgern zu machen. Es ist damit auch ein Erfolg für die Idee eines EU-weit einheitlichen Datenschutzniveaus, weil erst durch die EU-weite Erstreckung eine Grundlage gegeben ist, welche die US-Regierung das Anliegen erst nehmen lässt.
Das Privacy Shield ist für den Datenaustausch mit US-Unternehmen ein wichtiges Element. Denn alternative Gestaltungsmöglichkeiten, die das EU-Recht bspw. mit den sog. EU-Standardverträgen vorsieht, sind in der Praxis nicht so leicht zu handhaben. Nicht selten kollidieren die Vorgabe der EU-Standardverträgen mit zivilrechtlichen Vereinbarungen in den Verträgen oder der Abschluss ist kompliziert, weil nur ein Subunternehmer in den USA ansässig ist, der dann aber den Vertrag direkt mit dem deutschen Auftraggeber schließen müsste.
Diese Erfordernisse der Praxis nach einem einfachen Instrument wie dem Privacy Shield dürfen aber gleichwohl nicht dazu führen, dass diese mit der Preisgabe des Datenschutzniveaus erkauft werden. In diesem Zusammenhang ist darauf hinzuweisen, dass die Hauptkritik des EuGH am Vorgängerabkommen, aber nicht die Wirtschaftsunternehmen adressierte sondern den Zugriff auf solche Daten durch US-Behörden.
Im Rahmen des neuen Datenschutzabkommens sollen amerikanische Behörden nur in "engen Grenzen" einen Datenzugriff erhalten. Wo liegen diese?
Praktisch muss natürlich erkannt werden, dass seitens der US-Regierung nur das Zugeständnis vorliegt den Zugriff einzuschränken. Es sollen insbesondere keine wahllosen und massenhaften Zugriffe mehr erfolgen. Eine konkrete gesetzliche Umsetzung in den USA ist aber noch nicht bekannt.
Das schärfste Schwert, das bereits zugestanden wurde, ist, dass die betroffenen US-Unternehmen eine ungefähre Anzahl der Zugriffe veröffentlichen dürfen. Für den Bestand des Privacy Shield – aber wohl auch für EU-Standardverträge mit US-Unternehmen – wird entscheidend sein, wie die USA diese Zusage mit konkreten Regelungen und in der Praxis ausfüllen, bis der EuGH das nächste Mal über den Datentransfer in die USA entscheidet. Klagen gegen das Privacy Shield und gegen die EU-Standardverträge werden dem EuGH in absehbarer Zeit zur Entscheidung vorliegen.
Kritiker beklagen, dass Europäer kaum etwas gegen die Verarbeitung ihrer Daten durch US-Firmen tun können. Welche Möglichkeiten hat der europäische Nutzer mit dem "Privacy Shield", um gegen den Missbrauch seiner Daten vorzugehen?
Das Privacy Shield sieht Mechanismen wie die Pflicht zur Beantwortung von Beschwerden binnen 45 Tagen, eine kostenfreie Streitbeilegung sowie die Pflicht zur Zusammenarbeit einer US-Aufsichtsbehörde mit den europäischen Datenschutzaufsichtsbehörden vor. Diese Maßnahme sind aber genauso effektiv oder ineffektiv wie die entsprechenden Mechanismen gegen Missbrauch durch europäische Unternehmen.
Entscheidend wird es darauf ankommen, wie strikt diese Mechanismen durch die US-Aufsichtsbehörde durchgesetzt werden, um bei den US-Unternehmen das Bewusstsein für diese Pflichten schärfen.
Bei aller Kritik muss allerdings auch gesehen werden, dass die US ein grundlegend anderes Datenschutzverständnis haben. Es gilt eben nicht generell das Verbot mit Erlaubnisvorbehalt, sondern – vereinfacht gesagt – dass mit personenbezogenen Daten alles gemacht werden darf, was nicht konkret verboten ist. Diese Rechtsordnung wird nicht grundsätzlich durch das Privacy Shield außer Kraft gesetzt, sondern nur im Umfang der konkreten Regelungen des Privacy Shields modifiziert.
In einem Jahr soll das "Privacy Shield" planmäßig überprüft werden. Was muss aus Ihrer Sicht noch in ein endgültiges Abkommen einfließen? Bzw. ggf. was geht zu weit?
Entscheidend ist, dass dann konkrete, bindende Beschränkungen durch die US-Regierung in Bezug auf den Zugriff durch US-Behörden bestehen, aber jedenfalls transparent gemacht wird, in welchem Ausmaß Zugriffsbefugnisse bestehen und Zugriffe erfolgen, damit Klarheit besteht, über was diskutiert wird.