Gratis
7. Februar 2017 - Schreiben von EU-Kommissarin Jourová

EU-U.S. Privacy Shield: Welche Auswirkungen hat die Anordnung von Präsident Trump?

Durch eine Anordnung zur Verbesserung der Inneren Sicherheit in den USA hat Präsident Trump am 25. Januar 2017 große Unsicherheit darüber ausgelöst, ob der EU-U.S. Privacy Shield weiterhin eine belastbare Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA bilden kann. Die zuständige EU-Kommissarin für Justiz, Vera Jourová, hat nun in einem Schreiben an eine niederländische Europa-Abgeordnete erklärt, derartige Bedenken seien nach ihrer Einschätzung grundlos. Das Schreiben ist für die Praxis in den Unternehmen von größter Bedeutung. Vor seinem Hintergrund dürfte zumindest einstweilen kein Anlass mehr bestehen, die Rechtsbeständigkeit des Privacy Shield in Zweifel zu ziehen.

Der EU-U.S. Privacy Shild ist derzeit wohl nicht gefährdet Die Anordnung von Trump betrifft wohl nicht die Datenübermittlung zwischen privaten Stellen (Bild: maxkabakov / iStock / Thinkstock)

Enorme Bedeutung des Privacy Shield

Der EU-U.S. Privacy Shield bildet die rechtliche Basis für zahlreiche Übermittlungen personenbezogener Daten aus der EU in die USA. Er ist seit 1. August 2016 anwendbar.

Der „Shield“ füllt die Lücke, die dadurch entstanden war, dass der Europäische Gerichtshof die Safe-Harbor-Regelungen für unwirksam erklärt hatte.

Nach aktuellem Stand erhalten fast 1600 US-Unternehmen auf seiner Basis personenbezogene Daten. Dazu gehören so klangvolle Namen wie Salesforce und Microsoft. Eine stets aktuelle Liste der beteiligten Unternehmen ist im Internet abrufbar unter https://www.privacyshield.gov/list.

Rechtliche Basis: Beschluss der EU-Kommission

Rechtliche Basis für den „Shield“ ist aus der Sicht der Europäischen Union ein Beschluss der Europäischen Kommission vom 12.1.2016 (Beschluss (EU) 2016 / 1250, abrufbar in allen Amtssprachen der EU).

Sein Kernsatz, der in Art. 1 Abs. 1 des Beschlusses enthalten ist, lautet wie folgt: „Im Sinne von Artikel 25 Absatz 2 der Richtlinie 95/46/EG gewährleisten die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an Organisationen in den Vereinigten Staaten übermittelt werden.“

Bei der Richtlinie 95/46/EG handelt es sich um die EG-Datenschutzrichtlinie von 1995. Sie wird am 25. Mai 2018 durch die Datenschutz-Grundverordnung abgelöst.

Rechtsschutz für EU-Bürger als zentraler Punkt

Die Feststellung, dass der Privacy Shield ein angemessenes Schutzniveau gewährt, beruht auf zahlreichen Faktoren. Einer dieser Faktoren ist der angemessene Rechtsschutz für EU-Bürger in den USA, soweit es um Datenschutzangelegenheiten geht. Insoweit hatte die US-Seite bei der Vereinbarung des „Shield“ zahlreiche Zusagen gemacht. Sie sind vor allem in Schreiben von US-Behörden enthalten.

Diese Schreiben sind – im Einverständnis mit den USA – rechtlicher Teil des Beschlusses der Europäischen Kommission vom 12.1.2016.

Zweifel seit der Anordnung von Trump

Der Wert dieser Zusagen wird bezweifelt, seit Präsident Trump drei Tage nach seinem Amtsantritt, also am 25.1.2017, eine Anordnung zur Verbesserung der Inneren Sicherheit in den USA erlassen hat („Executive Order: Enhancing Public Safety in the Interior of the United States“).

„Abschnitt 14“ als Knackpunkt

In Abschnitt 14 dieser Anordnung ist Folgendes verfügt: US-Behörden sollen dafür sorgen, dass Personen, die weder US-Bürger sind noch sich rechtmäßig dauerhaft in den USA aufhalten, nicht in den Genuss der Schutzvorschriften des US-Bundesgesetzes über den Datenschutz (Privacy Act of 1974) kommen sollen.

Im englischen Original lautet Abschnitt 14 wie folgt: „Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Lebhafte Diskussion in der EU

Diese Einschränkung hat zu einer Diskussion darüber geführt, ob der Rechtsschutz für EU-Bürger in den USA auf dem Gebiet des Datenschutzes noch umfassend genug ist.

  • Sollte es daran fehlen, wären die Voraussetzungen des Beschlusses der Europäischen Kommission vom 12.1.2016 nicht mehr erfüllt.
  • Mögliche Folge wäre, dass dieser Beschluss von der Europäischen Kommission aufgehoben werden müsste.
  • Die Konsequenz wäre dann, dass er keine Grundlage mehr für die Übermittlung personenbezogener Daten in die USA bilden könnte.

Äußerung von Justizkommissarin Jourová

Die zuständige EU-Kommissarin Věra Jourová hat sich zur Frage des ausreichenden Rechtsschutzes am 31. Januar 2017 schriftlich geäußert. Dies geschah in einem Brief an die niederländische EU-Abgeordnete Sophie in’t Veld.

Frau in’t Veld ist im Europäische Parlament stellvertretende Vorsitzende der Fraktion der Allianz der Liberalen und Demokraten für Europa. Sie hatte bei Frau Jourová mit Schreiben vom 26. Januar 2017 unter anderem Fragen zu den Auswirkungen der Anordnung von Präsident Trump gestellt. Frau in’t Veld hat das Schreiben von Frau Jourová vom 31. Januar 2017 im Internet veröffentlicht.

Kernaussage: kein Anlass zur Sorge!

In ihrem Schreiben hebt Frau Jourová vor allem Folgendes hervor:

  • Die Regelung in Abschnitt 14 der Anordnung von Präsident Trump sei in einem spezifischen Zusammenhang zu sehen, nämlich im Zusammenhang mit Maßnahmen zur Begrenzung der Einwanderung.
  • Gleichwohl entstünden daraus Fragen allgemeiner Art, die näher geprüft werden müssten.
  • Auch wenn es für eine endgültige Beurteilung noch zu früh sei, könnten bestimmte „vorläufige Schlussfolgerungen“ jedoch bereits jetzt „mit Sicherheit“ gezogen werden („I can share with you some of the provisional conclusions that I believe we can safely draw already now“).
  • Hierzu gehöre vor allem, dass die Anordnung ohne Bedeutung für den Privacy Shield sei.
  • Dies beruhe vor allem auf dem Umstand, dass der U.S. Privacy Act, den die Anordnung in ihrem Abschnitt 14 in Bezug nimmt, seinem Wortlaut nach von vornherein nur US-Bürger schütze („by its letter only protects U.S. persons“).
  • Neuere Regelungen, wonach die EU und ihre Mitgliedstaaten von den Regelungen des U.S. Privacy Act erfasst würden, ändern ihrer Auffassung nach daran nichts. Sie sind im sogenannten Judicial Redress Act enthalten. Diese Regelungen beträfen aber nur die Übermittlung personenbezogener Daten von EU-Bürgern an US-Justizbehörden, nicht dagegen Übermittlungen solcher Daten zwischen privaten Stellen. Und nur solche Übermittlungen zwischen privaten Stellen würden in den Anwendungsbereich des Privacy Shield fallen.

Abschließend führt Frau Jourová aus, dass die Dienststellen der Kommission Kontakt mit den US-Behörden aufgenommen hätten, um die Situation vollständig zu analysieren.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln