Die US Federal Trade Commission, FTC, und die EU-Kommission vermeldeten Anfang Februar 2016 mit sichtlichem Stolz und in höchster Zeitnot den Vollzug: Die Kommission und die Vereinigten Staaten einigen sich auf einen neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild.

Bereits 2013 begann das Ringen von EU und USA um eine Reformierung des sogenannten Safe Harbor Agreements. In diesem hatten beide Verhandlungspartner seit 2000 festgelegt, unter welchen Rahmenbedingungen Daten von EU-Bürgern in die Einflusssphäre der USA transferiert werden dürfen.

Moratorium bis zum 31. 01. 2016

Ein derartiges Abkommen war notwendig geworden, weil Art 25 der europäischen Datenschutzrichtlinie (95/467EG) – in Deutschland umgesetzt in § 4 b BDSG – eine Übermittlung von Daten in Drittstaaten nur dann gestattet, wenn im Empfängerstaat ein ‚angemessenes Datenschutzniveau’ gewährleistet ist. Mit den substanziellen Veröffentlichungen des Whistleblowers Edward Snowden zu den Praktiken der US-Geheimdienste, sensible Daten ohne Zustimmung der Betroffenen und ohne Rechtsschutzmöglichkeiten massenhaft abzuschöpfen und auszuwerten, war für Datenschützer und EU-Kommission klar, dass die Selbstverpflichtung von US-Unternehmen im Rahmen des Safe Harbor Agreements, die europäischen Datenschutzstandards bei Datentransfers in die USA einzuhalten, unwiederbringlich durchlöchert war. Rechtzeitig, so schien es, nahm man erneut Verhandlungen auf, um den nachgeschobenen 13 Punkte-Katalog der Europäer – wie der Datenschutzstandard angemessen und richtlinienkonform verbessert werden müsse (von besseren behördlichen Kontrollen bis zu gesetzlich normierten Klagemöglichkeiten betroffener Europäer in den USA – mit den Sicherheitsinteressen der USA zu vereinbaren.

Für Datenschützer wenig überraschend, aber für die Öffentlichkeit ein Paukenschlag war die Entscheidung des EuGH in der Rechtssache Schrems gegen die irische Datenschutzbehörde vom 06. 10. 2015, in der er das Safe Harbor Agreement für nichtig erklärte, weil in den USA ganz offensichtlich nicht das geforderte angemessene Datenschutzniveau gewährleistet sei (siehe Beitrag des Autors, EuGH verteilt Ohrfeigen – Datenschutzbedenken kippen den Safe Harbor-Pakt, in: PUBLICUS 2015.11. S. 10 ff.). Dies bedeutete, dass die Übermittlung persönlicher Daten an Facebook, Google, Apple, Microsoft und eine Vielzahl weiterer Dienstleister und Cloud-Betreiber nicht mehr oder nur noch unter Zugrundelegung von EU-Standardvertragsklauseln oder der Verwendung enger Binding Corporate Rules möglich sein würde. Angesichts dieser schwerwiegenden Konsequenzen für den transatlantischen Handelsverkehr und mit Rücksicht auf die nun mit neuem Eifer vorangetriebenen Reformverhandlungen wurde ein Moratorium bis zum 31. 01. 2016 beschlossen. Nach dessen Ablauf sollte ab 01. 02. 2016 ein Nachfolgeabkommen, ein ‚Safe Harbor 2.0’, das Safe Harbor in der bisherigen Form ersetzen.

Der EU-US Privacy Shield …

Die Vollzugsmeldungen beidseits des Atlantiks ließen nicht lange auf sich warten: das ‚EU-US Privacy Shield’ war geboren.

Vereinbart wurden nach Lesart der EU-Kommission in der neuen Vereinbarung intensivierte Kontroll- und Durchsetzungsmaßnahmen der zuständigen US-Behörden, eine verstärkte und regelmäßige Zusammenarbeit mit den EU-Datenschutzbehörden (die sogenannte Art.- 29 – Datenschutzgruppe), Rechtsschutzmechanismen in den USA für EU-Bürger im Rahmen des unlängst verabschiedeten Judicial Redress Act und eine Eindämmung der massiven und wahllosen Überwachung von Daten durch US-Geheimdienste auf Fälle der Gefährdung der nationalen Sicherheit unter klaren Zugriffsbeschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen.

Die neuen Sicherungselemente, die den Privacy Shield richtlinienkonform und undurchdringlich machen sollen, sind:

• Strenge Auflagen für Unternehmen, die personenbezogene Daten europäischer Bürger verarbeiten, sowie deren konsequente Durchsetzung. Bei der FTC hinterlegte Selbstverpflichtungen von US-Unternehmen müssen veröffentlicht, überwacht und Verstöße geahndet werden. US-Unternehmen haben in diesem Rahmen Entscheidungen von EU-Datenschutzbehörden nachzukommen.
• Die USA haben schriftlich zugesichert, Massenüberwachungen von EU-Daten künftig zu unterlassen und nur in definierten Ausnahmefällen Zugriff zu nehmen. Alle Überwachungsmaßnahmen würden gemeinsam jährlich überprüft. Ein unabhängiger Ombudsmann des US State Department prüfe bei Bedarf die Einhaltung der Regularien. Zu den jährlichen Treffen der Kommission und des FTC werden Sachverständige und Datenschutzbehörden zugeladen.
• Der wirksame Schutz der Rechte von EU-Bürgern soll durch eine ganze Palette von Rechtsbehelfen gesichert werden. US-Unternehmen müssen entsprechende Beschwerden innerhalb einer 45-Tage-Frist beantworten. Die EU-Datenschutzbehörden können Beschwerden sofort oder bei Nichtabhilfe durch die US-Unternehmen an das FTC und das Handelsministerium weiterleiten. Zusätzlich steht ein kostenfreies Verfahren zur alternativen Streitbeilegung zur Verfügung. Gerichtliche Klagemöglichkeiten in den USA ergeben sich aus dem neuen Judicial Redress Act. Zusammengenommen sollen alle möglichen Maßnahmen eine hohe Rechtsdurchsetzungsqualität garantieren.

… ein ‚Bullshit Bingo’?

Auf der Grundlage dieses Verhandlungsergebnisses wird die EU-Kommission den notwendigen Angemessenheitsbeschluss entwerfen und die Art.-29-Datenschutzgruppe anhören. Auf amerikanischer Seite werden alle Vorkehrungen zur Implementierung der neuen Mechanismen des EU-US Privacy Shield getroffen. Die FTC sichert dabei in einem Schreiben vom 23. 2. 2016 zu, den EU-Datenschutzbeschwerden Vorrang einzuräumen, die Vorgaben des neuen Abkommens rigoros zu überwachen und mit den EU-Datenschutz- und Strafverfolgungsbehörden eng, transparent und dauerhaft zusammenzuarbeiten (‚…FTC commits to give priority to Privacy Shield referrals from EU Member States…’, ‚…FTC will also work closely with EU DPAs to provide enforcement assistance…..this could include information sharing and investigative assistance to foreign law enforcement agencies).

Während die zuständigen Stellen in den USA und Europa den Schulterschluss üben, begegnet das neue, mit heißer Nadel gestrickte Abkommen, auf Expertenseite gravierenden Bedenken. Der im EuGH-Verfahren siegreiche Kläger Max Schrems spricht angesichts der neuen Vereinbarung, die Grundlage einer europäischen ‚Adäquanzentscheidung’ auf sicherer Grundlage werden soll, gar von ‚Bullshit Bingo’. Er bewerte die Zusicherung von US-Ministerien, man werde von der massenhaften geheimen Datenüberwachung abgehen, als nutzlos, weil auch weiterhin die bisher geübte Praxis in sechs Fällen – von der Terrorismusabwehr über die Spionageabwehr, bis zur Verhinderung der Verbreitung von Massenvernichtungswaffen und sogar der reichlich unspezifischen Antwort der Behörden auf internationale kriminelle Bedrohungen – aufrecht erhalten werden kann. Einer Aushöhlung des EU-Datenschutzes in den USA sei durch diese generalklauselartigen Ausnahmetatbestände Tür und Tor geöffnet. Die ‚weichen’ Überwachungsmaßnahmen durch eine Ombudsstelle beim US Department of State ohne Rechtsprechungs- und Vollstreckungsbefugnisse und den jährlichen gemeinsamen transatlantischen Diskurs über Vorkommnisse und Erfahrungen des vergangenen Jahres seien keinesfalls ausreichend, um ein angemessenes Datenschutzniveau zu garantieren.

Zahlreiche Datenschützer stimmen Schrems dem Grunde nach zu. Selbstverpflichtungen von Unternehmen ersetzten keine justiziable Fremdzertifizierung und ADR-Modelle zur Streitbeilegung keine umfassende gerichtliche Überprüfung.

Tatsache ist, dass die Letztentscheidung darüber, ob der EU-US Privacy Shield geeignet ist, den Anforderungen an ein angemessenes Datenschutzniveau gerecht zu werden, wahrscheinlich wieder dem EuGH bei entsprechenden Klagen vorbehalten sein wird. Aller Erfahrung nach werden darüber einige Jahre verstreichen, in denen potenziell rechtswidrige transatlantische Datentransfers stattfinden. Besonders zynische Zeitgenossen vermuten hinter dem Abkommen eine Masche zum Zeitgewinn. Vielleicht sind diese warnenden Stimmen auch gar nicht zynisch, sondern einfach nur realistisch.

Die praktischen Erfahrungen mit dem neuen Abkommen werden dies zeigen.