Sichert das Privacy Shield ein adäquates Datenschutzniveau?

Am 29.02.2016 hat die Europäische Kommission den Entwurf einer sog. Adäquanz-Entscheidung zum neuen Übereinkommen zwischen der Europäischen Union und den USA namens „EU US Privacy Shield“ zur Vereinfachung von Datentransfers zwischen der Europäischen Union und den USA veröffentlicht. Ob das Privacy Shield eine verlässliche Basis für einen einfachen Transfer von personenbezogenen Daten sein wird, ist zweifelhaft.

Das Privacy Shield war notwendig geworden, da der EuGH in seiner Entscheidung vom 06.10.2015 die alte Adäquanz-Entscheidung der Europäischen Kommission zu Safe Harbor aufgehoben hatte (wir berichteten in Update Datenschutz Nr. 1, 2 und 5). Das Privacy Shield soll die vom EuGH erhobenen Bedenken gegen Safe Harbor ausräumen und den transatlantischen Austausch von personenbezogenen Daten wieder auf eine rechtssichere Grundlage stellen.

Zunächst sollen mit dem Privacy Shield neue sog. Privacy Principles festgelegt werden. Unternehmen in den USA müssen sich den Privacy Principles unterwerfen, um sich wie zuvor bei Safe Harbor auf einer Liste von selbstzertifizierten Unternehmen eintragen lassen zu können. Die Privacy Principles orientieren sich an europäischen Datenschutzgrundsätzen wie der Notwendigkeit, über die Nutzung von Daten zu informieren („Notice Principle“), den Betroffenen bestimmte Widerrufsmöglichkeiten zu geben („Choice Principle“), angemessene und verhältnismäßige Sicherheitsmaßnahmen zu ergreifen („Security Principle“) – dazu gehören u.a. auch die Verpflichtung, mit Subunternehmern schriftliche Verträge abzuschließen –, eine Zwecklimitierung („Data Integrity and Purpose Limitation Principle“), Auskunftsrechte („Access Principle“), Beschränkungen hinsichtlich der Weitergabe der personenbezogenen Daten („Accountability for Onward Transfer Principle“) und Rechtsschutzmöglichkeiten („Recurs, Enforcement and Liability Principle“).

Die entsprechenden Verpflichtungen sowie die Verpflichtungen zur Information der Betroffenen über die Teilnahme an Privacy Shield gehen über die früheren Regelungen des Safe Harbor Abkommens hinaus und lassen einerseits erwarten, dass Betroffenenrechte besser gewahrt werden, andererseits erscheinen sie höhere Ansprüche an US-Unternehmen zu stellen, weswegen zweifelhaft ist, ob diese überhaupt an der Privacy Shield Selbstzertifizierung teilnehmen wollen.

Zur Durchsetzung der entsprechenden Verpflichtungen sollen verschiedene Rechtsmittel implementiert werden, u.a. eine unabhängige Schlichtungsstelle. Außerdem sollen die nationalen Datenschutzbehörden in der Europäischen Union die Möglichkeit bekommen, auf Privacy Shield basierende Datentransfers zu suspendieren, wenn sie aufgrund von Beschwerden von Betroffenen Bedenken haben, dass die Privacy Principles eingehalten werden. Gerade die deutschen Datenschutzaufsichtsbehörden werden sicherlich von dieser Möglichkeit Gebrauch machen, da sie ohnehin jedem Transfer von personenbezogenen Daten in die USA sehr kritisch gegenüberstehen.

Außerdem hat sich die Europäische Kommission in dem Entwurf der Adäquanz-Entscheidung intensiv mit den Rechtsschutzmöglichkeiten von Betroffenen gegen Datenzugriffe der US-Geheimdienste auseinandergesetzt. Dies war einer der Hauptkritikpunkte des EuGHs in der Schrems-Entscheidung. Es ist allerdings zweifelhaft, ob die Ausführungen der Europäischen Kommission den Bedenken des EuGH gerecht werden. Zwar soll ein sog. Ombudsmann die Beschwerden von europäischen Betroffenen entgegennehmen. Insgesamt erscheint es aber nicht so, dass durch Privacy Shield eine erhebliche Einschränkung der Zugriffsrechte der Sicherheitsbehörden in den USA sowie eine Verbesserung der Rechtsschutzmöglichkeiten eintreten werden. Es bleibt somit offen, ob den Vorgaben des EuGH hinreichend Rechnung getragen wird.

Die Europäische Kommission führt nun eine Konsultation hinsichtlich des Entwurfs der Adäquanz-Entscheidung durch, um danach die Entscheidung treffen zu können.

Unternehmen sollten noch abwarten, wie diese Konsultation verlaufen wird. Bleibt es bei dem aktuellen Stand der Adäquanz-Entscheidung, ist nicht ausgeschlossen, dass der EuGH sich schnell wieder mit dem Thema befassen wird und seine Bedenken aufrechterhält. Daher sollten Unternehmen weiterhin eher mit den alternativen Möglichkeiten wie den EU-Standardvertragsklauseln für ihre Transfers in die USA planen oder gleich eine Datenverarbeitung in Europa vornehmen. Selbst wenn die Adäquanz-Entscheidung erlassen wird, besteht das Risiko, dass die deutschen Datenschutzbehörden bei Beschwerde von Betroffenen von ihrem Suspendierungsrecht Gebrauch machen werden, so dass auch auf Privacy Shield basierende Datentransfers im Einzelfall als unrechtmäßig angesehen werden können. Die Verlässlichkeit von Privacy Shield für Datentransfers in die USA muss daher in Frage gestellt werden.