Dr. Thilo Weichert: Keine Rechtssicherheit beim Privacy Shield
Am 12.7.2016 beschloss die Kommission der Europäischen Union (EU) das EU-US-Datenschutzschild (Privacy Shield). Sie akzeptierte damit einen neuen Rechtsrahmen für die Übermittlung von personenbezogenen Daten aus der EU in die USA. Damit verpflichten sich US-Unternehmen über eine Selbstzertifizierung zur Beachtung bestimmter Datenschutzanforderungen. Die Kommissionsentscheidung war nötig, nachdem der Europäische Gerichtshof (EuGH) am 6.10.2015 den Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 aufgehoben hatte, weil dieser gegen die Europäische Grundrechtecharta (EuGRCh) verstieß. Safe Harbor ist unwirksam, weil damit die Art. 7, 8 und 47 EuGRCh, also die Grundrechte auf unbeobachtete Kommunikation, auf Datenschutz und auf Rechtsschutz, teilweise sogar in ihrem Wesensgehalt, verletzt wurden. Aus Europa übermittelte Daten werden von US-Geheimdiensten und Sicherheitsbehörden wie z. B. die National Security Agency (NSA) anlasslos und massenhaft ausgewertet. Die Betroffenen konnten gegen die Verletzung ihrer Datenschutzrechte weder eine unabhängige Datenschutzkontrolle noch effektiven Rechtsschutz in Anspruch nehmen.
Die EuGH-Entscheidung war ein schwerer Schlag für die transatlantische Informationswirtschaft. Über 5 000 US-Unternehmen, darunter sämtliche großen IT-Konzerne wie Google, Facebook, Microsoft, Amazon, Apple, Salesforce, sowie viele kleinere und mittlere Unternehmen begründeten ihren Datenaustausch mit Safe Harbor. Dies war von einem Tag auf den anderen rechtlich weggebrochen. Einige Unternehmen wechselten umgehend zu von der EU-Kommission bestätigten und noch nicht aufgehobenen Standardvertragsklauseln. Doch leiden diese formell gültigen Klauseln an den gleichen Mängeln wie Safe Harbor: praktisch unbegrenzter Datenzugriff durch US-Behörden und ungenügender Rechtsschutz.
Die Wirtschaft hoffte so auf die Safe-Harbor-Nachfolge, worüber die EU-Kommission mit der US-Regierung seit den Snowden-Enthüllungen verhandelte. Das erzielte Ergebnis – das Privacy-Shield – wird nun von der USRegierung und der EU-Kommission als Rückkehr zur Rechtssicherheit im transatlantischen Datenverkehr gefeiert. Doch gibt es keinen Grund zum Feiern.
Richtig ist, dass Verbesserungen erreicht wurden: Das Kontrollverfahren und der Beschwerdeprozess sind präziser geregelt mit konkreten Abläufen und sogar Antwortfristen. Erstmals gibt es überhaupt minimale Rechtsschutzmöglichkeiten. Für den Beschäftigtendatenschutz sind spezifische Regelungen vorgesehen. Danach werden Beschwerden von Beschäftigten primär über den Arbeitgeber in Europa und die hiesigen Aufsichtsbehörden abgewickelt; die US-Unternehmen sind hierbei zur Kooperation verpflichtet. Insofern geht das Privacy Shield weiter als in allen anderen Bereichen.
Dies ändert aber nur wenig am Gesamtbild. Weiterhin sind Zweckänderungen in einem weiten Umfang erlaubt. Die Zugriffe von US-Sicherheitsbehörden sind nicht wirksam und überprüfbar eingeschränkt. Beschwerdemöglichkeiten gegen Geheimdienstaktivitäten bei einer Ombudsperson sind reine Kosmetik. Eine Einzelfallkontrolle durch die für die US-Unternehmen zuständige Federal Trade Commission (FTC) wurde nicht zugesagt. Der FTC fehlt ebenso wie der Ombudsperson die von der EuGRCh geforderte Unabhängigkeit. Die vorgesehenen Schiedsverfahren sind für Normalbürger mit unüberwindbaren Hindernissen versehen. Fazit: Die vom EuGH erhobenen Bedenken sind nicht im Ansatz ausgeräumt. Eine Klage gegen das Privacy Shield wird wieder zu einer Aufhebung durch den EuGH führen. Im Facebook-Verfahren von Schrems bei der irischen Datenschutzbehörde wurde eine weitere EuGH-Vorlage schon angekündigt. Datenschutzbehörden haben zudem in Aussicht gestellt, die noch gültigen Standardvertragsklauseln überprüfen zu lassen. Bis zu neuen Gerichtsentscheidungen gewinnt die Wirtschaft eine Verschnaufpause von maximal zwei Jahren.
Was wäre angesichts dieser vertrackten Lage zu tun? Unternehmen, denen Datenschutz und Compliance ein Anliegen ist, könnten durch eigene Vertragsregelungen den Anforderungen an Grundrechtsschutz genügen (das Netzwerk Datenschutzexpertise hat z. B. einen Mustertext eines solchen Export-Import-Vertrags ins Netz gestellt). Aber auch das ist nur eine Notlösung. Mittelfristig müssen die USA Datenschutz als Grundrecht gewährleisten. Damit wäre allen Beteiligten gedient.
Dr. Thilo Weichert, Jurist und Politologe, Netzwerk Datenschutzexpertise, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz e. V. (DVD), von 2004 bis Juli 2015 Datenschutzbeauftragter von Schleswig- Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel, zuvor stellv. ULD-Leiter, Tätigkeiten als Rechtsanwalt, Politiker, Hochschuldozent, Justiziar und Publizist.