Kippt das Privacy Shield Abkommen?

Wie funktioniert das aktuelle Privacy Shield Abkommen?

Der Datentransfer in Drittstaaten (Länder, die nicht EU-Mitglied sind und auch nicht zum Europäischen Wirtschaftsraum (EWR) gehören) ist, gemäß Artikel 44 der EU-Datenschutz-Grundverordnung (DS-GVO), nur unter gewissen Voraussetzungen zulässig. Unter anderem kann die Kommission einen Angemessenheitsbeschluss fassen, der Länder oder wirtschaftliche Teilstrukturen dieser Länder als datenschutzrechtlich sicher klassifiziert.

Das Privacy Shield Abkommen bildet genau solch einen Angemessenheitsbeschluss. Damit stellt das Abkommen zwischen der EU und den USA seit dem 01. August 2016 die Grundlage für den Datenaustausch zwischen den beiden dar. Jedoch gilt es zu beachten, dass das Privacy Shield nicht für jede Datenübertragung herangezogen werden kann. Lediglich für die US-Unternehmen, die eine gültige Privacy Shield Zertifizierung besitzen, kann das Abkommen für den Datentransfer als Rechtsgrundlage dienen. Die bekannten Tech-Konzerne wie Google, Facebook oder Amazon sind selbstverständlich zertifiziert und in dieser Liste schnell auffindbar.

Um in die Liste aufgenommen zu werden, muss sich das jeweilige US-Unternehmen beim amerikanischen Handelsministerium (Department of Commerce) registrieren und eine Zertifizierung beantragen. Anschließend werden sie verpflichtet, die Datenschutzregularien der EU im Betriebsalltag umzusetzen.

Maximilian Schrems und die irische Datenschutzbehörde

Der österreichische Datenschutzaktivist hatte einst mit seiner Klage (damals betitelt mit „Fall Schrems“) gegen den Datentransfer von Facebook und die gleichzeitige Überwachung der US-Geheimdienste „nebenbei“ das Vorgängerabkommen Safe Harbour gekippt. Eine nachfolgende Beschwerde bei der zuständigen irischen Datenschutzbehörde wurde wieder dem europäischen Gerichtshof zur Verhandlung vorgelegt (Titel „Schrems II“). Laut Süddeutscher Zeitung begründet der Anwalt von Herrn Schrems die erneute Klage damit, dass die getroffenen Datenschutzbestimmungen von den US-Behörden zur Wahrung der nationalen Sicherheit regelmäßig ausgehebelt würden.

Herr Schrems gab nach der Verhandlung am 09. Juli 2019 netzpolitik.org bekannt, dass das jetzige Privacy Shield Abkommen vom Gericht wohl für unwirksam erklärt werden würde. Auch wenn diese Aussage mit Nichten ein Urteil des europäischen Gerichtshofs vorwegnehmen kann, hinterlässt es doch bei vielen Unternehmen eine gewisse Unsicherheit.

Auch Standarddatenschutzklauseln sind betroffen

Das Thema Standarddatenschutzklauseln haben nur wenige Datenschützer auf dem Schirm. Diese bilden gem. Art. 46 Abs. 2 lit. c und d DS-GVO eine weitere Erlaubnisgrundlage für den Datentransfer in Drittländer, insbesondere in die USA. Die betreffenden Klauseln stammen aus dem Jahr 2010 und blieben auch nach der DS-GVO gültig. Auf sie berufen sich wesentlich mehr Datenübertragungen als auf das Privacy Shield Abkommen. Im aktuellen Verfahren wurde auch angesprochen, inwieweit sich ein mangelhafter Datenschutz in den USA auf diese Werkzeuge auswirken könnte.

Ausblick ungewiss?

Das Privacy Shield und die Standarddatenschutzklauseln bilden bisher die Grundlage für den Datentransfer zwischen europäischen und US-amerikanischen Unternehmen. Kippen beide datenschutzrechtlichen Werkzeuge, wäre rein hypothetisch der Datentransfer zwischen der EU und den USA verboten. Doch auch nach der Aufhebung des Safe Harbour Abkommens 2016 wurde der Datentransfer zwischen EU und den USA nicht gestoppt. Vielmehr ist zu erwarten, dass beide Staatengemeinschaften sich wieder schnell auf ein Nachfolgeabkommen einigen werden. Bußgelder für die betroffenen Unternehmen, die zum Beispiel Auftragsverarbeiter in den USA beschäftigen, sind definitiv nicht so schnell zu erwarten. Allerdings könnte ein erneuter Workaround den betroffenen Unternehmen bevorstehen.

Ein Urteil in der Sache „Schrems II“ ist am 12. Dezember 2019 zu erwarten.