Das EU-US Privacy Shield-Konzept

Zum Umgang mit rechtskulturellen Unterschieden im Datenschutzrecht

DS-RL: Art 25; DS-GVO: Art 46

Safe Harbor; Datenübermittlung an Drittland; Vereinigte Staaten; EuGH Schrems; Datenschutzprinzipien; Datenschutz, internationaler

1. Ausgangssituation

Die informationellen und ökonomischen Ausmaße des internationalen Datenaustausches zwischen der EU und den Vereinigten Staaten sind enorm. Das seit dem Jahr 2000 bestehende Safe Harbor-Regime bot eine rechtliche Grundlage, die sich sowohl im Hinblick auf die jedes Jahr zunehmende Quantität des Datentransfers und die sich erhöhende wirtschaftliche Relevanz als auch im Lichte der Enthüllungen von Snowden immer weniger als tauglich erwies.

Der EuGH beendete mit seinem Urteil 6. 10. 2015, C-362/14 (Schrems) das Safe Harbor-Regime.¹ Die Kritik des EuGH war dabei sehr breit; so kritisierte das Gericht etwa, dass das Regime nur für selbstzertifizierende US-Organisationen gültig sei, die Begrenzung der datenschutzrechtlichen Grundsätze durch staatliche Regeln in den Vereinigten Staaten möglich wäre, eine pauschale Ausnahme für nationale Sicherheitsbestände, kein wirksamer Rechtsschutz und kein grundrechtliches Schutzniveau existierten sowie kein Recht auf Löschung oder Berichtigung bestehe.² Die Kernaussage des Gerichts lautet dabei wie folgt: "Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen."³ Der EuGH kam somit zu dem Ergebnis, dass das Safe Harbor-Regime gegen Art 7, 8, 47 GRC, also gegen die Grundrechte auf Achtung des Privatlebens und auf Datenschutz sowie gegen das Grundrecht auf wirksamen gerichtlichen Rechtsschutz, verstieß.⁴

Aufgrund der Bedeutung des internationalen Datentransfers waren die politischen Bestrebungen sehr groß, rasch eine neue datenschutzrechtliche Grundlage zu schaffen. Der im Juli 2016 getroffene Kommissionsbeschluss zu dem neuen Privacy Shield-Konzept⁵ basiert weiterhin auf den bestehenden datenschutzrechtlichen Regeln des Art 25 DS-RL. Auch sonst wurde die Grundstruktur des Safe Harbor-Regimes beibehalten. Es besteht also weiterhin ein Angemessenheitsbeschluss der Kommission, dem (nun) sieben Anhänge angeschlossen sind, die datenschutzrechtliche Prinzipien zum Ausdruck bringen, ebenso wie Schreiben unterschiedlicher Regierungsbehörden, die zahlreiche Zusagen und Garantien im Hinblick auf die Verwendung personenbezogener Daten in den Vereinigten Staaten enthalten.

Der Inhalt des Privacy Shield-Konzepts bleibt weiterhin schwierig und unklar.⁶ Das zentrale rechtliche Dokument ist der 36-seitige Angemessenheitsbeschluss der Kommission,⁷ der allerdings auf 34 Seiten 155 Erwägungsgründe auflistet und in den sodann folgenden vier Artikeln primär auf die Anhänge zu diesem Be-

---

schluss verweist. Ein Verständnis der inhaltlichen Garantien ergibt sich in weiterer Folge aus den sieben Anhängen, die wiederum in unsystematischer Weise auf insgesamt 75 Seiten vor allem aus Regierungsschreiben bestehen. Hervorzuheben sind die datenschutzrechtlichen Grundsätze des amerikanischen Handelsministeriums im Anhang II ("EU-US Privacy Shield Framework Principles"). Letztlich wird auf diese Weise ein eigenständiges Datenschutzrecht für den transatlantischen Datentransfer geschaffen, das sich in unübersichtlicher Weise rechtsstaatlichen Standards entzieht. In österreichischer Terminologie würde man von der Notwendigkeit eines archivarischen Fleißes bzw einer gewissen Lust zum Lösen von Denksportaufgaben⁸ sprechen, um eine Dechiffrierung der Regelungen zu erreichen. Es kann daher in diesem Beitrag auch nur überblicksartig auf den geschaffenen Regelungskomplex eingegangen werden, der in diesem Zusammenhang als das Privacy Shield-Konzept bezeichnet wird. Es ist jedenfalls Knyrim zuzustimmen, dass "Datentransfers in die USA [...] künftig eine komplexe rechtliche und organisatorische Aufgabe sein werden".⁹

2. Die Neuerungen des Privacy Shield

Das Privacy Shield-Konzept enthält im Detail Nachschärfungen zum bestehenden Safe Harbor-Regime. Den inhaltlichen Ausgangspunkt stellen die erwähnten Datenschutzprinzipien dar. Bei diesen Prinzipien handelt es sich insb um eine Informationspflicht und Wahlmöglichkeit (Notice & Choice), Verantwortlichkeit der Datenweitergabe (Accountability for Onward Transfer), Datensicherheit (Security), Datenintegrität und Zweckbindung (Data Integrity and Purpose Limitation), Auskunftsrecht (Access) sowie Rechtsdurchsetzung (Recourse, Enforcement and Liability). Gegenüber Safe Harbor sind diese Prinzipien teilweise konkreter gefasst.¹⁰

Rechtlicher Anknüpfungspunkt ist wie bei Safe Harbor die Selbstzertifizierung von Unternehmen bei entsprechenden US-Behörden, wobei eine Privacy Shield-Liste¹¹ der zertifizierten Unternehmen veröffentlicht wurde.¹² Kern der Zertifizierung ist die Einhaltung der Datenschutzprinzipien, wobei weiterhin Ausnahmen für die nationale Sicherheit, öffentliche Interessen und die Strafverfolgung bestehen. Es ist die Verpflichtung vorgesehen, dass sich die Unternehmen einem Streitschlichtungsverfahren unterwerfen. Die Streitschlichtung kann allerdings von den Unternehmen selbst gewählt werden, erfolgt in den Vereinigten Staaten und die Verhandlungssprache ist Englisch.¹³ Das Verfahren kann als aufwendig bezeichnet werden und entspricht jedenfalls nicht Verbraucherinteressen.

Für den Einzelnen bestehen Auskunftsansprüche, wobei diese wiederum eingeschränkt werden können, insb wenn die Kosten für die Auskunftserteilung im Vergleich zu den Interessen der betroffenen Person als unverhältnismäßig anzusehen sind.¹⁴ Von den zahlreichen weiteren Einschränkungsmöglichkeiten sind etwa die Einschränkung von Auskünften hinsichtlich von Betriebs- und Geschäftsgeheimnissen sowie die Verletzung legitimer Rechte anderer zu nennen;¹⁵ in beiden Fällen zeigen sich die großen Ermessensspielräume der Unternehmen, Auskunftsersuchen abzulehnen.

Eine datenschutzrechtliche Aufsicht besteht insb durch die Federal Trade Commission, wobei diese berechtigt ist, die Einhaltung zu überprüfen und entsprechend zu sanktionieren. Bei Missachtung von Anordnungen der Kommission können pro Verstoß USD 16.000 bzw dieselbe Summe pro Tag bei andauernden Verstößen¹⁶ und schließlich eine Streichung von der Privacy Shield-Liste als Sanktion vorgesehen werden.¹⁷

Auch für amerikanische Behörden und Geheimdienste wurden spezielle Prinzipien festgelegt, die etwa Daten von US-Firmen nur auf gesetzlicher Grundlage erfassen sollen. Allerdings wird Massenüberwachung insb für Geheimdienste nicht ausgeschlossen. Darüber hinaus soll eine Ombudsstelle eingerichtet werden, die eng mit Behörden und Ministerien zusammenarbeitet, wobei eine europäische Stelle Beschwerden entgegennimmt und an die Ombudsperson weiterleitet.¹⁸ Die Ombudsperson ist allerdings als Koordinierungsstelle zu betrachten und nicht als Entscheidungsinstanz. Letztlich besteht aber auch für Unionsbürger die Möglichkeit, vor dem spezifischen FISA-Gericht gegen rechtswidrige Datenanwendungen der Nachrichtendienste vorzugehen, wobei allerdings zahlreiche Entscheidungen des Gerichts geheim bleiben.¹⁹

Das Privacy Shield-Konzept schafft zwar zusätzliche Garantien, geht aber konzeptionell über das bestehende Regelungsregime nicht hinaus. Es werden weiterhin weder völkerrechtliche Vereinbarungen zwischen der EU und den Vereinigten Staaten getroffen, noch werden in den Vereinigten Staaten entsprechende gesetzliche Grundlagen geschaffen, die ein den europäischen Standards entsprechendes Datenschutzniveau für personenbezogene Daten aus der EU garantieren. Es wird vielmehr weiterhin auf Absichtserklärungen der amerikanischen Regierung abgestellt, womit auch die Durchsetzbarkeit der Rechte der betroffenen Personen nicht vollumfänglich gewährleistet wird. Damit werden allerdings die bisher bestehenden Kritikpunkte des EuGH nicht ausreichend berücksichtigt.²⁰ Dies spiegelt sich auch in der Stellungnahme der Art 29-Datenschutzgruppe zum Privacy Shield-Konzept wider (WP 238).²¹ Auch wenn die Verbesserungen gelobt werden, bemängelt die Datenschutzgruppe die mangelnde Klarheit der Regelungen.²²

---

3. Möglichkeiten und Grenzen des internationalen Datenschutzes

Um die rechtliche Problematik der transatlantischen Datenschutzkooperation zu verstehen, ist es notwendig, rechtsvergleichend die unterschiedlichen rechtskulturellen Kontexte des Datenschutzes miteinzubeziehen.²³ Dem europäischen Datenschutzkonzept kommt international eine Vorreiterrolle zu. Umgekehrt bedeutet dies aber auch, dass die europäischen Vorgaben zum Datenschutz sowohl aus konzeptionellen als auch aus kulturellen Gründen nicht einfach global universalisierbar sind.²⁴ Auch wenn es nicht möglich ist, auf diese Fragestellung hier im Detail einzugehen, so soll doch ein Einblick in das US-amerikanische Verständnis von Privatsphäre und Datenschutz gegeben werden, ohne den die Regelungen des Privacy Shield aus europäischer Sicht nicht verständlich sind.

Ausgangspunkt ist das amerikanische Verfassungsrecht, dessen geschriebener Text primär aus dem 18. Jahrhundert stammt. Der 4. Zusatzartikel zur amerikanischen Verfassung bezieht sich auf Personen- und Hausdurchsuchungen. Die Weiterentwicklung des amerikanischen Verfassungsrechts findet aufgrund der hohen Vorgaben für Verfassungsänderungen primär durch die Rechtsprechung des US Supreme Court statt.²⁵ Diesbezüglich bestehen auch hinsichtlich der Interpretation des 4. Zusatzartikels wesentliche Urteile, wobei hier nur überblicksartig und ausgewählt darauf hingewiesen werden kann.²⁶ In Katz vs United States²⁷ entwickelte das amerikanische Höchstgericht in den 1960er-Jahren grundrechtliche Basisgarantien für die Privatsphäre im Hinblick auf die Überwachung öffentlicher Telefonzellen. Demgegenüber begrenzte das Höchstgericht die Anwendbarkeit des 4. Zusatzartikels bei der freiwilligen Weitergabe von personenbezogenen Daten an Dritte, wie etwa Banken²⁸ oder Telekommunikationsunternehmen,²⁹ womit in diesen Fällen ein verfassungsrechtlicher Schutz vor staatlicher Überwachung nicht mehr besteht. In zwei rezenten Fällen wurde der Schutz der Privatsphäre durch den US Supreme Court wiederum erweitert. In Jones³⁰ bezog das Höchstgericht die GPS-Überwachung von Kraftfahrzeugen in den verfassungsrechtlichen Grundrechtsschutz mit ein; in Riley³¹ wurde die Bedeutung des Mobiltelefons für die Verwahrung personenbezogener Daten und der diesbezügliche Schutz des 4. Zusatzartikels anerkannt.

Auf einfachgesetzlicher Ebene ist im amerikanischen Bundesstaat zwischen föderalen Bestimmungen des Bundes und der jeweiligen Staaten zu unterscheiden. Es entsteht damit ein komplexes Geflecht an Regelungen, die auf unterschiedliche Weise datenschutzrechtliche Fragestellungen zumeist punktuell adressieren. Datenschutzrechtliche Vorgaben an Unternehmen werden dabei vorrangig als unternehmerische Datenschutz-Compliance verstanden, hinter welche die gesetzliche Regulierung und die Behördenaufsicht zurücktreten.³² Es liegt daher in erster Linie an den Unternehmen selbst, einen Datenschutzstandard zu garantieren und damit am Markt zu überzeugen. Auf diese Weise substituiert die Rechtssetzung Privater ein staatliches Regelungsregime.³³ Flankiert wird dies allerdings durch ein stark sanktioniertes Schadenersatzregime. Können also Rechtsverletzungen nachgewiesen werden, die auch zu einem Schaden geführt haben, so bestehen durchaus effektive Möglichkeiten der Rechtsdurchsetzung.

Es zeigt sich daher zusammenfassend, dass eine datenschutzrechtliche Kooperation zwischen der EU und den Vereinigten Staaten nicht nur auf die europäische Rechtslage, sondern auch auf das US-amerikanische Rechtssystem Rücksicht nehmen muss. Das amerikanische Konzept des Datenschutzes besteht eben nicht in einem einheitlichen regulatorischen Konzept auf Gesetzesebene, sondern in einem ausdifferenzierten und punktuellen Modell, das auf die Compliance von Unternehmen und damit verbundene Schadenersatzmöglichkeiten setzt. Aus europäischer Sicht bedeutet dies entweder, dass die europäischen Vorgaben des adäquaten Datenschutzniveaus rechtskulturell geöffnet werden müssen, oder dass die meisten anderen Rechtssysteme dem europäischen Datenschutz nicht entsprechen können. Während die EU durch den angestrebten Datenschutzstandard insb kleinere Staaten zur Weiterentwicklung und Verbesserung des Datenschutzrechts in einem europäischen Sinne bewegen kann, wird es nur eingeschränkt möglich sein, das europäische Konzept zu universalisieren und damit einen harmonisierten internationalen Standard zu schaffen. Die EU kann allerdings Unternehmen, die in Europa datenbezogene Dienste anbieten, insb wenn diese in der EU angesiedelt sind oder aber auch mit europäischen Partnern kooperieren, dazu verpflichten, die Einhaltung der europäischen Datenschutzstandards für den europäischen Markt zu garantieren.³⁴

4. Konsequenzen für Unternehmen

Mit dem Privacy Shield-Konzept wurde kurzfristig eine rechtliche Basis geschaffen, den datenschutzrechtlichen status quo aufrechtzuerhalten. Die Übermittlung von personenbezogenen Daten kann daher auf Basis des Privacy Shield-Konzepts weiter-

---

hin an jene Unternehmen erfolgen, die sich in dessen Rahmen registriert haben.³⁵ Eine langfristige Lösung der datenschutzrechtlichen Probleme ist damit allerdings nicht verbunden. Es bestehen weiterhin jene grundrechtlichen Bedenken, die bereits im Hinblick auf das Safe Harbor-Regime bestanden haben.³⁶

Für Unternehmen sind daher langfristig die Möglichkeiten der DS-GVO von Interesse, die einen internationalen Datentransfer jenseits der Regeln zum adäquaten Datenschutzniveau von Drittstaaten betreffen. Auf Basis von Art 46 Abs 2 DS-GVO können geeignete Garantien durch Unternehmen auch auf andere Weise erbracht werden, die nicht von einem Angemessenheitsbeschluss der Kommission abhängig sind.³⁷ Für Großunternehmen besteht im Rahmen des Datentransfers innerhalb des Unternehmens darüber hinaus die Möglichkeit der Selbstbindung durch interne Datenschutzklauseln gem Art 47 DS-GVO.³⁸ Für internationale Datentransfers außerhalb des Unternehmens in Drittstaaten besteht daher primär die Variante, Standarddatenschutzklauseln gem Art 46 Abs 2 DS-GVO vertraglich zu vereinbaren, die von der Kommission oder einer Aufsichtsbehörde vorab genehmigt werden.³⁹ Über diese bereits jetzt bestehenden Möglichkeiten hinaus schafft die DS-GVO auch neue Ansätze, wie etwa gem Art 46 Abs 2 lit f DS-GVO einen "genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen".

Es bestehen also auf individueller Basis unterschiedliche andere Möglichkeiten, einen internationalen Datentransfer zu etablieren, die es Unternehmen unter erhöhtem administrativen Aufwand ermöglichen, weiterhin auch personenbezogene Daten in Länder zu übermitteln, die kein adäquates Datenschutzniveau bieten. Im Hinblick auf die zukünftige Kooperation mit den Vereinigten Staaten besteht daher - auch aus Gründen der Rechtssicherheit - die Möglichkeit, auf diese Alternativen zurückzugreifen.⁴⁰

5. Ausblick

Es wurden bereits die ersten zwei Anfechtungen gegen das Privacy Shield-Konzept beim EuGH eingebracht, einerseits von der irischen NGO Digital Rights⁴¹, andererseits von der französischen NGO La Quadrature du Net.⁴² Es ist aufgrund der strukturellen Gemeinsamkeiten zwischen dem Safe Harbor-Regime und dem Privacy Shield-Konzept durchaus wahrscheinlich, dass diese neuerlichen Klagen wiederum erfolgreich sein werden. Spätestens dann wird es auch vonseiten der EU erforderlich sein, einen neuen Zugang zum transatlantischen Datentransfer zu entwickeln. Die DS-GVO führt zwar das Konzept der Angemessenheitsbeschlüsse der Europäischen Kommission gem Art 44 f DS-GVO fort, kann damit aber die strukturellen Probleme im spezifischen Fall der Vereinigten Staaten nicht lösen.

Die Fragilität des Privacy Shield-Konzepts wird durch die Amtsübernahme des 45. US-Präsidenten deutlich. Im Gegensatz zu einem internationalen Übereinkommen bestehen primär Zusicherungen des US-Government. Rechtssicherheit in Form rechtlicher Stabilität ist auf dieser Basis nur begrenzt gewährleistet.

Abschließend ist zu erwähnen, dass im Safe Harbor-Urteil des EuGH die fehlende rechtsvergleichende Auseinandersetzung mit der Rechtslage in den Vereinigten Staaten auffällt.⁴³ Es kommt eher zu einer allgemeinen Beurteilung aufgrund des bestehenden Angemessenheitsbeschlusses und zu pauschalen Aussagen über die amerikanische Rechtslage anhand der Anhänge als zu einer rechtlichen Auseinandersetzung mit den bestehenden Bestimmungen in den Vereinigten Staaten.⁴⁴ Es wäre daher auch auf gerichtlicher Ebene erforderlich, die konkrete amerikanische Rechtslage in die Auseinandersetzung verstärkt miteinzubeziehen. Diesbezüglich ist im Hinblick auf die Verwendung von personenbezogenen Daten im Zusammenhang mit Nachrichtendiensten überdies zu bedenken, dass auch in Europa weitreichende Ausnahmen bestehen.⁴⁵