EU-US-Datentransfer: Privacy Shield unter europäischem Beschuss
Datenschützer befürchten, dass der Privacy Shield unter Trump von den USA gekündigt werden könnte. Ein Ausschuss des EU-Parlaments fordert nun von der EU-Kommission, das Datenschutzniveau des Abkommens zu überprüfen.
Das EU-Parlament soll im Lichte zunehmender Kritik am Privacy Shield in der kommenden Woche über das Abkommen abstimmen. Der LIBE-Ausschuss hat bereits mit einer ablehnenden Resolution Stellung bezogen. Zukünftig könnte der Datenaustausch mit den USA damit erschwert werden.
Als Nachfolger des Abkommens Safe Harbor vereinfacht Privacy Shield den Datenaustausch für europäische Unternehmen mit solchen US-Dienstleistern, die sich zu den Datenschutzprinzipien und organisatorischen Vorgaben des Privacy Shields bekennen.
Dr. Marc Störing ist auf Datenschutzrecht spezialisierter Partner der Kanzlei Osborne Clarke.
Am 12. Juli 2016 war das EU-US-Privacy-Shield offiziell in Kraft getreten und dabei von Anfang an Gegenstand von Kritik. Tatsächlich ist für diesen Sommer zum einjährigen Geburtstag des Privacy Shields geplant, das Instrument umfassend zu prüfen.
Trump sorgt für Verunsicherung
Doch wie es nun scheint, ist der sich in Brüssel formierende Widerstand gegen Privacy Shield nicht bereit, überhaupt nur so lange zu warten. Für Verunsicherung hatte die Executive Order zur "Verbesserung der öffentlichen Sicherheit" vom 25. Januar von US-Präsident Donald Trump gesorgt. Ein Passus legt die Intention nahe, Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht oder zumindest von bestimmten "Datenschutzerklärungen" auszuschließen, "soweit dies mit geltendem Recht vereinbar ist".
Zwar bezieht sich der Trump’sche Erlass ausschließlich auf den Privacy Act der USA, aber dennoch befürchten Datenschützer, dass Privacy Shield ebenfalls hierunter fallen könnte – oder dass das Instrument demnächst einseitig von den USA gekündigt wird.
EU-Justizkommissarin Vera Jourová hatte gedroht, den Privacy Shield zu kippen, wenn signifikante Änderungen im US-amerikanischen Verständnis und Umgang mit Daten von Europäern zu beobachten seien. Tatsächlich hatte nun am 23. März 2017 der LIBE-Ausschuss mit einer eher knappen Mehrheit von 29 zu 25 Stimmen bei einer Enthaltung eine kritische Resolution verabschiedet, welche die EU Kommission zu einer Überprüfung des Datenschutzniveaus des Privacy Shield bittet.
Kritische Aspekte
Und dabei weist der Ausschuss auf einige Aspekte hin, die nach Auffassung der LIBE-Mitglieder als besonders kritisch anzusehen sind: insbesondere die fehlende Verpflichtung für US Unternehmen, sich zu zertifizieren, der Umstand der häufig US-amerikanischen Schlichter im Streitfall und die damit verbundenen Schwierigkeiten für EU-Bürger in der Rechtsdurchsetzung, die behauptete Massenüberwachung durch die US-Regierung und schließlich die vermeintlich nicht ausreichende Unabhängigkeit des US-Ombudsmannes.
Nun ist eine Abstimmung im EU-Parlament geplant. Sollte das es der Linie des LIBE-Ausschusses folgen, hätte das zwar keine unmittelbare Auswirkung auf Privacy Shield. Das EU-Parlament wäre also – anders als der Europäische Gerichtshof seinerzeit in Sachen Safe Harbor – nicht in der Lage, Privacy Shield in irgendeiner Form zu beenden, zu kündigen oder für unwirksam zu erklären. Aber ein kritisches Votum des Parlamentes wäre zumindest eine gewichtige Aufforderung an die Justizkommissarin Vera Jourová, sich entweder für kurzfristige Verbesserungen am US-amerikanischen Ende des Tisches einzusetzen oder – was wohl realistischer wäre – Privacy Shield durch die EU-Kommission spätestens im Zuge der anstehenden jährlichen Überprüfung auszusetzen oder zu kündigen.
Unternehmen, die beim transatlantischen Datenaustausch bisher auf die Privacy-Shield-Selbstzertifizierung ihrer Dienstleister setzen, stünden dann wieder vor dem Problem, kurzfristig alternative Lösungen etwa in Form sogenannter Standardvertragsklauseln zu finden. (anw)
