Ein Privacy Shield für alle

Am 12. 7. 2016 hat die EU-Kommission das Annahmeverfahren über eine neue Angemessenheitsentscheidung zum so genannten EU-US Privacy Shield abgeschlossen. Nach längerem Ringen ist damit eine Nachfolgeregelung für das vom EuGH am 6. Oktober 2015 für ungültig erklärte “Safe Harbor”-Regelwerk als neue Rechtsgrundlage für den transatlantischen Datenaustausch jenseits von EU-Standardvertragsklauseln und Binding Corporate Rules (BCR) in Kraft getreten.

Die Nachricht war ein Lichtblick nach Monaten der rechtlichen Ungewissheit über die Möglichkeiten des Datenaustausches zwischen EU- und US-Unternehmen. Die neuen Zertifizierungsbedingungen bauen auf den bestehenden Grundlagen von Safe Harbor auf, allerdings erweitert um eine Reihe von Kriterien, welche sich zwingend aus den seitens des EuGH gestellten Anforderungen an eine entsprechende Angemessenheitsentscheidung der Kommission ergeben hatten. Klarer geregelt sind nun beispielsweise die Löschpflichten nach Zweckentfall, Bedingungen für die Weitergabe von Daten an Dritte sowie der ebenfalls in der ab 2018 geltenden Datenschutzgrundverordnung enthaltende Zweckbindungsgrundsatz. EU-Bürger erhalten Rechtsschutzmöglichkeiten in Form von Beschwerde-, ADR- oder Schiedsverfahren. Zudem wird eine Ombudsstelle eingerichtet.

Wichtig und von zusätzlicher Bedeutung für die Akzeptanz und Wirksamkeit des neuen Privacy Shields ist vor diesem Hintergrund das jüngst zugunsten des Unternehmens Microsoft ergangene Urteil über die Reichweite von Zugriffsbefugnissen der US-Regierung auf im Ausland gehostete Daten. Ein solches Zugriffsrecht hätte nicht nur die weltweiten Einsatzmöglichkeiten transatlantischer Cloud-Dienste, sondern die grundsätzliche Belastbarkeit des gerade bestätigten Privacy Shields in Frage gestellt.

Die neuen Regelungen sind nicht frei von Kritik. Dennoch muss man den Schritt der EU-Kommission begrüßen. Es ist nun künftig wieder möglich, ad hoc Übermittlungen an zertifizierte Unternehmen in den USA zu tätigen, ohne auf Standardvertragsklauseln oder BCR zurückgreifen zu müssen. Darin lag bislang einer der großen Vorteile von Safe Harbor. Ein erster Belastungstest wird hier die nächste, von nun an jährlich vorgesehene Revision der neuen Regelungen sein. Hier lag sicherlich eine der größten Schwächen des alten Safe Harbor und liegt zugleich das große Potential des neuen Privacy Shields, flexible und praxisgerechte Nachjustierungen im Lichte der Anforderungen des EuGH vornehmen zu können.

Die Debatten rund um die Tragfähigkeit einer solch partiellen Angemessenheitsentscheidung haben jedenfalls eines deutlich gemacht: Das Problem eines möglichen Zugriffs auf Daten durch Geheimdienste wird sich kaum abschließend durch Handelsabkommen oder Angemessenheitsentscheidungen beseitigen lassen. Das Rechtsinstrument der Angemessenheitsentscheidung kann kein Hebel für die Änderung fremder Rechtsordnungen sein. Mit Blick auf bestehende Differenzen sollen diese für den privatrechtlichen Bereich gerade überbrückbar gemacht und dafür gesorgt werden, dass die seitens privater Unternehmen praktizierten Datentransfers auf einem angemessenen Niveau und unter Berücksichtigung wesentlicher Datenschutzgrundsätze praktiziert werden gerade dort, wo die EU-Kommission keine Angemessenheitsentscheidung für ein ganzes Land getroffen hat. Politisch sicherlich notwendige Debatten können nicht auf dem Rücken der digitalen Wirtschaft geführt werden.

Das neue Privacy Shield stellt insoweit einen wichtigen Schritt in eine weitere richtige Richtung dar. Als Entscheidung bezogen auf ein konkret vereinbartes Regelwerk zum privaten Datenschutz muss dieses Beispiel nicht nur mit Blick auf die Haltbarkeit der EU-Standardvertragsklauseln, sondern vor allem im internationalen Zertifizierungskontext Schule machen. Es ist ja nicht so, dass Datenübermittlungen allein zwischen EU und USA erfolgen. Umfassende Angemessenheitsentscheidungen existieren für gerade einmal 11 Staaten. Ein rein “lokales” oder “europäisches” Datennetz wird es nie geben, auch wenn sich Unternehmen bereits mit entsprechenden Geschäftsmodellen am Markt platziert haben. Darin kann und darf die Lösung kaum liegen. Die Diskussionen rund um die Kriterien eines Privacy Shields in – datenschutzrechtlich – unsicheren Drittstaaten werfen also ein Licht auf Fragen der Geeignetheit partieller Angemessenheitsentscheidungen als Rechtsgrundlage für weltweite Datentransfers.

Ein Bestehen des Rechts- und Praxistests in einem Jahr wird daher wesentlich für die künftigen Entwicklungen auf dem Markt der globalen Datentransfers sein. Nur ein funktionierendes und flexibles EU-US Privacy Shield wird dann zur Blaupause auch für weltweite Entscheidungen der EU-Kommission werden können. Das wäre ein echter Fortschritt. Der europäischen digitalen Wirtschaft und den Nutzern ist es zu wünschen.

RA Michael Neuber, Berlin