Kippt das Privacy Shield Abkommen?

Béla Maaß

Oft werden in meinen Seminaren Fragen zum internationalen Datenaustausch gestellt. Und oft begegne ich der Frage: Wird das Privacy Shield, wie einst sein Vorgängerabkommen Safe Harbour, bald gekippt?

Zwei Menschen geben sich die Hand.

Wie funktioniert das aktuelle Privacy Shield Abkommen?

Der Datentransfer in Drittstaaten (Länder, die nicht EU-Mitglied sind und auch nicht zum Europäischen Wirtschaftsraum (EWR) gehören) ist, gemäß Artikel 44 der EU-Datenschutz-Grundverordnung (DS-GVO), nur unter gewissen Voraussetzungen zulässig. Unter anderem kann die Kommission einen Angemessenheitsbeschluss fassen, der Länder oder wirtschaftliche Teilstrukturen dieser Länder als datenschutzrechtlich sicher klassifiziert.

US-amerikanische Flagge, im Vordergrund ist eine Kugel in den Farben der europäischen Flagge dargestellt.
Wird die Datenschutz-Blase platzen? Dem Privacy Shield könnte das gleiche Schicksal wie seinem Vorgängerabkommen Safe Harbour drohen.

Das Privacy Shield Abkommen bildet genau solch einen Angemessenheitsbeschluss. Damit stellt das Abkommen zwischen der EU und den USA seit dem 01. August 2016 die Grundlage für den Datenaustausch zwischen den beiden dar. Jedoch gilt es zu beachten, dass das Privacy Shield nicht für jede Datenübertragung herangezogen werden kann. Lediglich für die US-Unternehmen, die eine gültige Privacy Shield Zertifizierung besitzen, kann das Abkommen für den Datentransfer als Rechtsgrundlage dienen. Die bekannten Tech-Konzerne wie Google, Facebook oder Amazon sind selbstverständlich zertifiziert und in dieser Liste schnell auffindbar.

Um in die Liste aufgenommen zu werden, muss sich das jeweilige US-Unternehmen beim amerikanischen Handelsministerium (Department of Commerce) registrieren und eine Zertifizierung beantragen. Anschließend werden sie verpflichtet, die Datenschutzregularien der EU im Betriebsalltag umzusetzen.

Maximilian Schrems und die irische Datenschutzbehörde

Der österreichische Datenschutzaktivist hatte einst mit seiner Klage (damals betitelt mit „Fall Schrems“) gegen den Datentransfer von Facebook und die gleichzeitige Überwachung der US-Geheimdienste „nebenbei“ das Vorgängerabkommen Safe Harbour gekippt. Eine nachfolgende Beschwerde bei der zuständigen irischen Datenschutzbehörde wurde wieder dem europäischen Gerichtshof zur Verhandlung vorgelegt (Titel „Schrems II“). Laut Süddeutscher Zeitung begründet der Anwalt von Herrn Schrems die erneute Klage damit, dass die getroffenen Datenschutzbestimmungen von den US-Behörden zur Wahrung der nationalen Sicherheit regelmäßig ausgehebelt würden.

Herr Schrems gab nach der Verhandlung am 09. Juli 2019 netzpolitik.org bekannt, dass das jetzige Privacy Shield Abkommen vom Gericht wohl für unwirksam erklärt werden würde. Auch wenn diese Aussage mit Nichten ein Urteil des europäischen Gerichtshofs vorwegnehmen kann, hinterlässt es doch bei vielen Unternehmen eine gewisse Unsicherheit.

Die Statue der Gerechtigkeit hält in einer Hand eine Waage und in der anderen Hand ein Schwert in die Luft.
Aktuell wird Schrems II vor dem Europäischen Gerichtshof verhandelt.

Auch Standarddatenschutzklauseln sind betroffen

Das Thema Standarddatenschutzklauseln haben nur wenige Datenschützer auf dem Schirm. Diese bilden gem. Art. 46 Abs. 2 lit. c und d DS-GVO eine weitere Erlaubnisgrundlage für den Datentransfer in Drittländer, insbesondere in die USA. Die betreffenden Klauseln stammen aus dem Jahr 2010 und blieben auch nach der DS-GVO gültig. Auf sie berufen sich wesentlich mehr Datenübertragungen als auf das Privacy Shield Abkommen. Im aktuellen Verfahren wurde auch angesprochen, inwieweit sich ein mangelhafter Datenschutz in den USA auf diese Werkzeuge auswirken könnte.

Ausblick ungewiss?

Das Privacy Shield und die Standarddatenschutzklauseln bilden bisher die Grundlage für den Datentransfer zwischen europäischen und US-amerikanischen Unternehmen. Kippen beide datenschutzrechtlichen Werkzeuge, wäre rein hypothetisch der Datentransfer zwischen der EU und den USA verboten. Doch auch nach der Aufhebung des Safe Harbour Abkommens 2016 wurde der Datentransfer zwischen EU und den USA nicht gestoppt. Vielmehr ist zu erwarten, dass beide Staatengemeinschaften sich wieder schnell auf ein Nachfolgeabkommen einigen werden. Bußgelder für die betroffenen Unternehmen, die zum Beispiel Auftragsverarbeiter in den USA beschäftigen, sind definitiv nicht so schnell zu erwarten. Allerdings könnte ein erneuter Workaround den betroffenen Unternehmen bevorstehen.

Ein Urteil in der Sache „Schrems II“ ist am 12. Dezember 2019 zu erwarten.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht