EU-US Privacy Shield
Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) umfasst informelle Absprachen auf dem Gebiet des Datenschutzrechts seit dem Jahre 2015 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Er betrifft Zusicherungen der US-amerikanischen Bundesregierung und einen Angemessenheitsbeschluss der EU-Kommission.[1][2] Die Kommission beschloss am 12. Juli 2016, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen.[3][4][5] Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie wurde notwendig, als der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärte.[6] Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems-II-Urteil für ungültig.[7] Der EU-US Privacy Shield wurde zwischen dem Durchführungsbeschluss der Kommission 2016 und der Entscheidung des EuGH 2020 angewendet. Nachfolger ist das EU-US Data Privacy Framework, für das die Europäische Kommission im Juli 2023 den Angemessenheitsbeschluss angenommen hat. Der Angemessenheitsbeschluss kann ab diesem Zeitpunkt als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.[8] GeschichteDie Einigung mit den USA auf den EU-US Privacy Shield gab die Europäische Kommission am 2. Februar 2016 bekannt.[9][10] Als Voraussetzung unterzeichnete US-Präsident Barack Obama am 24. Februar 2016 mit dem Judicial Redress Act ein Gesetz, das EU-Bürgern eine Klagemöglichkeit in den USA eröffnet, die eine Verletzung des Datenschutzes geltend machen. Anders als amerikanische Staatsbürger muss man nach Wertung des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar dabei zunächst versuchen, seine Rechte auf dem Verwaltungsweg durchzusetzen.[11][12] Das Abkommen sowie begleitende europarechtliche Beschlüsse und Regelungen wurden am 29. Februar 2016 veröffentlicht[13][1] und in der Folge nur noch unwesentlich geändert.[14] Der Wortlaut der Texte wurde bei der Vorstellung der Regelungen bekanntgegeben.[4] Anfang Juli 2016 stimmten die meisten EU-Mitgliedsstaaten dem Datenschutzschild zu. Österreich, Kroatien, Slowenien und Bulgarien enthielten sich. Die Bundesdatenschutzbeauftragte Andrea Voßhoff erklärte, „insbesondere im sogenannten kommerziellen Teil“ habe die Kommission zuvor „viele Forderungen der Datenschützer berücksichtigt“ und den ursprünglich vorgelegten Entwurf abgeändert. Es solle aber für die Datenschützer keine weitere Möglichkeit mehr zur Stellungnahme geben.[2] In der Übergangszeit orientierten sich amerikanische Unternehmen an den Standardvertragsklauseln nach Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie von 1995, denen Datenschützer der EU einst zugestimmt hatten. Auf dieses Vorgehen hatte die Europäische Kommission verwiesen.[15][16] Die Kommission hat den Angemessenheitsbeschluss, wonach „die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen“,[1] nach der Anhörung der Artikel-29-Datenschutzgruppe[1] am 12. Juli 2016 gefasst und den EU-Mitgliedsstaaten zugeleitet.[3][4] Am 16. September 2016 reichte die irische Organisation Digital Rights Ireland beim Gericht der Europäischen Union (EuG) eine Nichtigkeitsklage nach Art. 263 AEUV gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Datenschutzschild ein.[17][18] Auch Netzaktivisten von La Quadrature du Net und das French Data Network FDN sowie FFDN leiteten entsprechende Verfahren ein.[19] Daher erklärte der EU-Justiz- und Verbraucherkommissar Didier Reynders im Mai 2020 im Schreiben EN E-001120/2020: „Die Kommission ist eine Partei in den zwei vor dem Europäischen Gerichtshof anhängigen Verfahren, die für den Privacy Shield relevant sind (T-738-16, La Quadrature du Net und C-311/18, Schrems II). Zwar kann die Kommission das Ergebnis der Rechtsstreitigkeiten nicht vorhersagen, aber sie nimmt mögliche Szenarien in Augenschein […] Parallel setzt die Kommission ihre Arbeit bezüglich alternativer Instrumente für den internationalen Austausch personenbezogener Daten fort; dazu gehört auch die Überprüfung bestehender Standardvertragsklauseln.“ Der EU-Generalanwalt äußerte vor der Verhandlung zur Geltung vor dem Europäischen Gerichtshof (EuGH) am 16. Juli 2020 erhebliche Zweifel an der Gültigkeit des EU-US Privacy Shield-Abkommens. Nach dem Wechsel zur Regierung Trump erklärte die EU-Justizkommissarin Věra Jourová im März 2017, sie setze die Absprachen außer Kraft, falls die Bundesregierung der USA „etwas ‚signifikant‘ ändere“. Die „Unberechenbarkeit“ der neuen Regierung sei „ein Problem“.[20] In ihrem ersten Bericht zu Erfahrungen mit dem Abkommen erklärte sie im Oktober 2017, das Verfahren „funktioniere“ und biete „weiterhin ein angemessenes Datenschutzniveau“. Sie empfahl „Verbesserungen“, darunter die Aufklärung der EU-Bürger über ihre Rechte aus dem Datenschutzschild. Auch forderte sie, den Ombudsmann bald möglichst zu ernennen.[21] Der Hauptgeschäftsführer der Nichtregierungsorganisation Digitale Gesellschaft, Alexander Sander, widersprach der Stellungnahme der Kommission. Der Rechtsschutz für EU-Bürger sei unzureichend ausgestaltet.[22] Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) erklärte der Europäische Gerichtshof den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.[23] Datenschutzrechtlich Verantwortliche können sich seitdem bei Datentransfers zu Verantwortlichen oder Auftragsverarbeitern mit Sitz in den Vereinigten Staaten, die sich selbst nach dem EU-US Privacy Shield zertifiziert haben, nicht mehr auf die Angemessenheit des Datenschutzniveaus gem. Art. 45 DSGVO berufen. Am 25. März 2022 erklärten EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden eine „grundsätzliche Einigung“ über eine weitere Privacy-Shield-Vereinbarung, ohne dass in den USA Überwachungsgesetze geändert wurden.[24] Zusicherungen der Exekutive können nicht eingeklagt werden. Eine Entscheidung des Obersten Gerichtshofs der Vereinigten Staaten vom März 2022 hatte die Hürden für eine Vereinbarung weiter erhöht. Die US-amerikanische Bundesregierung erhielt mehr Spielraum bei der Berufung auf „Staatsgeheimnisse“ in Spionagefällen. US-amerikanische Bürger und EU-Bürger können nun schwerer eine geheime Überwachung in den USA vor dortigen Gerichten anfechten.[25] Am 13. Dezember 2022 hat die EU-Kommission einen Entwurf für das Privacy Shield 2.0 veröffentlicht.[26] RegelungenDer Privacy Shield umfasst in der Ende Februar 2016 veröffentlichten Fassung das Abkommen selbst, einen „Angemessenheitsbeschluss“ der Europäischen Kommission und weitere Texte, die in das Gesetzgebungsverfahren der EU-Mitgliedsstaaten eingebracht werden sollen. Darunter sind Grundsätze zum Datenschutz, die von amerikanischen Unternehmen einzuhalten sind, sowie schriftliche Zusicherungen der US-amerikanischen Bundesregierung, die im US-Bundesregister zu veröffentlichen sind. Diese Zusicherungen enthielten „Garantien und Beschränkungen für den Datenzugriff durch Behörden“.[1] US-amerikanische Unternehmen werden sich, wie zuvor bei der Safe-Harbor-Liste, wiederum in eine Liste eintragen um sich zu verpflichten, die diesbezüglichen Verpflichtungen einzuhalten.[27] Die amerikanische Seite habe zur Überzeugung der Europäischen Kommission zugesichert, wirksame Aufsichtsmaßnahmen gegen Unternehmen durchzuführen, die mit Sanktionen bewehrt sind, bis hin zur Streichung aus der Liste der begünstigten Unternehmen. Die Weitergabe von Daten an dritte Unternehmen sei nunmehr an strengere Voraussetzungen gebunden.[1] Die EU-Kommission erklärte, die amerikanische Regierung habe der EU über das Büro des Direktors der Nachrichtendienste schriftlich zugesichert, Zugriffe auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit „klaren Beschränkungen, Garantien und Aufsichtsmechanismen“ zu unterwerfen. EU-Bürger könnten sich an einen Ombudsmann beim US-amerikanischen Außenministerium wenden, um Verstößen nachzugehen und prüfen zu lassen, ob ein Unternehmen rechtswidrig handelte. Alle schriftlichen Auskünfte und Erklärungen der Ombudsstelle würden im US-Bundesregister veröffentlicht.[1] EU-Bürgern werden gegenüber den US-amerikanischen Unternehmen Ansprüche eingeräumt. Beschwerden müssten die Unternehmen in 45 Tagen nachgehen. Im Streitfall gebe es ein Verfahren zur alternativen Streitbeilegung. Daneben können sich EU-Bürger auch an ihre nationalen Datenschutzbehörden wenden, die gemeinsam mit der Federal Trade Commission Beschwerden nachgehen würden. Unternehmen, die Personaldaten verarbeiten, müssen den Empfehlungen der nationalen Datenschutzbehörden der EU-Mitgliedsstaaten nachkommen; andere Unternehmen können sich hierzu freiwillig verpflichten.[1] Die Europäische Kommission werde jährlich einen Bericht über die Erfahrungen mit dem Datenschutzschild erstellen und dem Europäischen Parlament und dem Europäischen Rat zuleiten. Die Überprüfung werde von der Kommission gemeinsam mit dem US-Handelsministerium durchgeführt. „Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden“ würden ebenso beteiligt wie Nichtregierungsorganisationen und „sonstige Beteiligte“, die zu einem Datenschutzgipfel eingeladen würden.[1] KritikDas Abkommen – die amerikanische Presse sprach von einem „Deal“[28] – war von Anfang an erheblicher Kritik ausgesetzt. So wies Maximilian Schrems, der Kläger in dem Ausgangsverfahren, durch das die Safe-Harbor-Regelung zu Fall gebracht wurde, darauf hin, dass Zusagen der US-Bundesregierung kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016 „in keiner Weise eine ausreichende Grundrechtsgarantie für Hunderte Millionen Europäer darstelle“.[9] Im Juli 2016 konkretisierte er seine Kritik in einem Interview im Deutschlandfunk. Es werde nach dem Inkrafttreten des Beschlusses über den EU-US-Datenschutzschild keine wesentlich andere Rechtslage geben als zuvor unter der Geltung von Safe-Harbor: „Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden. […] Wenn man […] die Dokumente anschaut […], steht da ausdrücklich drin, dass es für sechs Fälle auf jeden Fall noch Massenüberwachung gibt. Und dann ist es auch so, dass diese Definition, was Massenüberwachung eigentlich ist, bei den Amerikanern ein bisschen skurril ist.“[29][30] Zusammen mit dem grünen Europaabgeordneten Jan Philipp Albrecht bezog Schrems parallel zu der Vorstellung des Privacy Shield am 12. Juli 2016 bei einer Pressekonferenz in Brüssel Position gegen das Abkommen.[31] Der Privacy Shield wurde auch von 27 Bürgerrechtsorganisationen[32] und von Datenschützern[33] abgelehnt. Moniert wurde vor allem, dass das Abkommen rechtlich nicht verbindlich sei. Es sei kein Vertrag, sondern nur eine Sammlung von Briefen. Massenüberwachungsmaßnahmen durch die Regierung der USA blieben zulässig – ohne Verhältnismäßigkeitsprüfung, was europäisches Recht verletze. Betroffenen könnten ihre Rechte weiterhin nicht wirksam verfolgen, weil sie von der Überwachung nicht erführen. Daher nutze ihnen auch kein Ombudsmann, der ohnehin über die notwendigen Befugnisse nicht verfüge.[34] Die Artikel-29-Datenschutzgruppe meldete in einer Stellungnahme am 13. April 2016 Bedenken gegen den Privacy Shield an. Die Datenschützer führten aus, es liege weiter eine flächendeckende und anlasslose Überwachung der EU-Bürger vor. Weiterhin werde das Datenaufbewahrungsprinzip nicht anerkannt. Dem vorgesehenen Ombudsmann fehle es – als Beamten des amerikanischen Außenministeriums – an der nötigen Unabhängigkeit.[35][36] Am 24. Mai 2016 hatte auch das Europäische Parlament mit 501 zu 119 Stimmen in einem gemeinsamen Entschließungsantrag die Kommission aufgefordert, den bekannten Mängeln des Privacy Shields abzuhelfen.[37][38] Nachdem der neu gewählte Präsident Donald Trump am 25. Januar 2017 eine Anordnung unterzeichnete, wonach die Geltung des Privacy Acts für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, ausgeschlossen sei,[39] bezweifelte Peter Schaar, ob noch von einem „angemessenen Datenschutzniveau“ für EU-Bürger auszugehen sei.[40] Das Europäische Parlament nahm am 6. April 2017 eine kritische Resolution zum Privacy Shield an. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für unvereinbar.[41] Bei der ersten Sitzung des Europäischen Datenschutzausschusses im Januar 2019 wurde moniert, dass die Position des Ombudsmanns noch immer nicht dauerhaft besetzt sei; auch fehle eine Offenlegung seiner Befugnisse gegenüber den Sicherheitsbehörden. Der Bundesdatenschutzbeauftragte bezweifelte, dass „der Ombudspersonmechanismus in der Praxis das erforderliche Maß an Rechtsschutz gewährt“, und forderte Abhilfe.[42] Weitere Angemessenheitsbeschlüsse der EU-KommissionDie Europäische Kommission beschloss in weiteren Fällen, dass andere Länder ein mit der EU vergleichbares Datenschutzniveau aufweisen. Stand Mai 2023 gab es 14 Angemessenheitsbeschlüsse in Bezug auf den Datenverkehr mit Andorra, Argentinien, den britischen Kronbesitztümern Guernsey, Isle of Man und Jersey, der dänischen Inselgruppe Färöer, Israel, Japan, Kanada (nur für kommerzielle Organisationen), Neuseeland, der Schweiz, Südkorea, das Vereinigte Königreich und Uruguay.[43] Literatur
Weblinks
Einzelnachweise
|