Der EU-US-Privacy-Shield steht seitens der EU-Organe unter zunehmender Kritik. Als Alternative für Datenübertragungen in die USA und Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln ins Feld geführt. Doch auch für diese könnte bald das Aus durch den EuGH kommen.
Hintergrund
Die Kritik der EU-Organe am Privacy-Shield reißt nicht ab. Ende Juli 2018 kritisierte die EU-Justizkommissarin Jourova erneut das in den USA praktizierte Datenschutzniveau, setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy-Shields.
Ein Hauptkritikpunkt ist das Fehlen einer Ombudsperson in den USA, bei der sich betroffene Personen aus Europa über die Verletzung der Datenschutz-Vorgaben beschweren können. Es bleibt zweifelhaft, ob US-Handelsminister Ross auf diese Fristsetzung reagieren wird. Bereits im Frühjahr bezeichnete er das Datenschutzniveau in der EU als übertrieben und unnötig. Für US-Unternehmen bestünde die Gefahr zurückgehender Geschäfte. Der Privacy-Shield steht damit mehr denn je vor einer ungewissen Zukunft.
Ist der Privacy Shield die einzige Möglichkeit für einen sicheren Datentransfer in die USA?
Nach Art. 44 der Datenschutz-Grundverordnung („DSGVO“) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy-Shield bzw. Angemessenheitsbeschlüssen der Kommission gibt es für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.
Außerhalb von Konzernen bieten sich sog. Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, ansässig in der EU, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.
Sind Standardvertragsklauseln das Mittel der Zukunft?
Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der DSGVO.
Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom Europäischen Gerichtshof („EuGH“) auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert.
Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetzt, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.
Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des EuGHs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.
Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.
Fazit und Handlungsempfehlung
Erheblicher Grund zur Sorge besteht für Unternehmen nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor Privacy-Shield und Standardvertragsklauseln als Rechtsgrundlage entfallen.
Aktuelle Ausführungen der Trump-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.