Datenschutzrecht: Safe Harbor Abkommen und EU-US Privacy Shield

Datenschutz ist in einer digitalisierten Welt ein wichtiges Thema. Dies zeigte sich in den letzten Jahren etwa im Rahmen der Diskussionen um die Datenschutz-Grundverordnung (DSGVO). Relevant werden datenschutzrechtliche Fragen immer wieder, wenn Unternehmen personenbezogene Daten sammeln oder übertragen wollen. Die Europäische Union möchte ihren Bürgern einen möglichst hohen Standard im Bereich des Datenschutzes sichern und hat daher Regeln aufgestellt. Dazu zählt unter anderem eine Richtlinie, die eine Übermittlung persönlicher Daten in Nicht-EU-Staaten an datenschutzrechtliche Bedingungen knüpft. Kritisch ist vor allem der Datenverkehr zwischen der EU und den USA. Die Bilanz bisher: Verhandlungen, Einigungen und zwei EuGH-Urteile.

Europäische Datenschutzrichtlinie

1995 erließ die Europäische Gemeinschaft (die Vorgängerorganisation der Europäischen Union) die Datenschutzrichtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Ziel war es, einerseits den Datenaustausch zu ermöglichen, zugleich aber die Wahrung der Grundrechte sicherzustellen. Vor allem sollte ein individueller Schutz der Privatsphäre garantiert werden. Dafür regelte die Richtlinie unter anderem eine Übermittlung personenbezogener Daten aus einem EU-Mitgliedsland in einen Drittstaat.

Diese Übermittlung ist nach der Richtlinie untersagt, wenn in dem Drittstaat der Datenschutz nicht ein Niveau erreicht, das mit dem des EU-Rechts vergleichbar wäre. Eine Übermittlung darf demnach grundsätzlich nur stattfinden, wenn ein bestimmter gesetzlicher Standard im Bereich des Datenschutzes erfüllt ist. Die Datenschutzrichtlinie von 1995 wurde inzwischen durch die im Mai 2018 in Kraft getretene DSGVO aufgehoben und ersetzt. Die DSGVO enthält jedoch ebenfalls eine entsprechende Regelung.

Das Safe Harbor Abkommen

Die Richtlinie betraf unter anderem Unternehmen aus den Vereinigten Staaten, da in den USA keine datenschutzrechtlichen Regelungen bestehen, die mit dem Schutzniveau in der EU vergleichbar wären. Nun wollten beide Seiten verhindern, dass wegen der Richtlinie der Datenverkehr nicht mehr oder nur noch eingeschränkt möglich wäre. Deshalb wurde eine Möglichkeit für US-Unternehmen entwickelt, dennoch mit personenbezogenen Daten von EU-Bürgern in Kontakt zu kommen.

Die Unternehmen konnten sich öffentlich dazu verpflichten, die sogenannten Safe Harbor Principles, also Grundsätze des sicheren Hafens zu befolgen. Dadurch traten sie dem Safe Harbor bei und konnten sich in eine Liste des US-amerikanischen Handelsministeriums eintragen lassen. Bei dem Beitritt handelte es sich um eine reine Selbstverpflichtung, die tatsächliche Einhaltung der Prinzipien wurde nicht überprüft. Im Juli 2000 fasste die EU-Kommission den sogenannten Safe Harbor Beschluss. Durch diese Entscheidung erkannte die Kommission an, dass bei den dem Safe Harbor beigetretenen Unternehmen ein ausreichender Datenschutz gewährleistet sei. Das bedeutete, dass die Richtlinie einer Übermittlung personenbezogener Daten aus der EU an diese Unternehmen nicht entgegenstand.

Diese Möglichkeit nutzen zahlreiche Unternehmen, darunter Marktführer wie Google, Amazon und Facebook. Bei Safe Harbor handelt es sich nicht um ein Abkommen im eigentlichen Sinne, sondern um einen einseitigen Beschluss der EU-Kommission. Da das Vorgehen mit den USA abgestimmt war, wird jedoch auch von einem „Abkommen“ gesprochen.

Recht mit Geschichte

Juristen sollten nicht immer nur nach vorn schauen, sondern sich auch mit der Rechtsgeschichte befassen. Diese spannenden Themen bieten tiefe Einblicke:

→ Die Akte Rosenburg: Juristische Aufarbeitung
→ Wie sind unsere Rechtsnormen entstanden?
→ Das StGB - Die Entstehungsgeschichte

Kritik am Safe Harbor Beschluss

Der Safe Harbor Beschluss der EU-Kommission erfuhr viel Kritik. Datenschützer bemängelten zum einen die fehlende Überprüfbarkeit der Einhaltung der vorgegebenen Prinzipien. Nachdem die Unternehmen sich lediglich selbst verpflichteten, die Grundsätze zu wahren, sei dies in der Praxis nicht sicher gewährleistet. Vor allem aber befürchteten Datenschützer, dass Sicherheitsbehörden in den USA in den Besitz der Daten gelangen könnten. US-Behörden können auf der Basis amerikanischer Sicherheitsgesetze unter Umständen auf personenbezogene Daten zugreifen, die in den USA gespeichert sind, ohne dass die Betroffenen davon erfahren. Dementsprechend stehen keine effektiven Rechtsschutzmöglichkeiten zur Verfügung. Diese beiden großen Mängel wurden von Anfang an kritisiert. Die Bedenken gegen Safe Harbor wurden 2013 durch die Enthüllungen des ehemaligen Geheimdienst-Mitarbeiters Edward Snowden noch verstärkt. Snowden hatte Dokumente veröffentlicht, aus denen hervorging, dass US-Sicherheitsbehörden massenhaft Überwachung betreiben.

„Snowden hatte Dokumente veröffentlicht, aus denen hervorging, dass US-Sicherheitsbehörden massenhaft Überwachung betreiben. “

Ab diesem Zeitpunkt wurde die Kritik an dem Abkommen immer lauter.

Das EuGH-Urteil von 2015

Im Oktober 2015 hatte schließlich der EuGH eine Entscheidung zu Safe Harbor zu treffen. Hintergrund war eine Klage des Juristen und Datenschutzaktivisten Maximilian Schrems gegen die irische Datenschutzbehörde, weil diese seine Beschwerde gegen die Übermittlung von Daten durch Facebook in die USA nicht geprüft hatte. Das höchste irische Zivilgericht legte dem EuGH die Frage vor, ob der Safe Harbor Beschluss die Datenschutzbehörde an der von Schrems geforderten Prüfung hindere.

Der EuGH entschied hierzu, dass die Kommission nicht die Kompetenz habe, die Befugnisse der nationalen Datenschutzbehörden einzuschränken. Außerdem prüfte der Gerichtshof die Gültigkeit des Safe Harbor Beschlusses der EU-Kommission und kam zu dem Urteil, dass dieser ungültig sei. Safe Harbor sei nicht wirkungsvoll, da sich zwar die beigetretenen US-Unternehmen zur Wahrung eines bestimmten Datenschutzstandards verpflichteten, nicht aber die amerikanischen Behörden. Dabei hätten Erfordernisse der nationalen Sicherheit und das öffentliche Interesse in den USA Vorrang vor den Bestimmungen von Safe Harbor.

In der Konsequenz könnten die beigetretenen Unternehmen jederzeit verpflichtet werden, zugunsten dieser Erfordernisse und Interessen die Grundsätze und Regeln des sicheren Hafens nicht anzuwenden und den amerikanischen Sicherheitsbehörden personenbezogene Daten preiszugeben. Regelungen zur Begrenzung potenzieller Eingriffe gebe es im US-Recht ebenso wenig wie einen effektiven gerichtlichen Rechtsschutz gegen diese Eingriffe. Die Regelung verletze daher den Wesensgehalt des Grundrechts auf Achtung des Privatlebens sowie des Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Diese Rechte sind in der Grundrechtecharta der EU verankert. Der Safe Harbor Beschluss wurde wegen dieser Verstöße für ungültig erklärt. Dieses Abkommen kann daher nicht mehr als Grundlage für die Übermittlung personenbezogener Daten in die USA herangezogen werden.

Die neue Übereinkunft: Das Privacy Shield

Nach dem Urteil des EuGH wurde zwischen der EU und den USA eine neue Übereinkunft angestrebt, die wiederum das Ziel hatte, eine Datenübermittlung unter Einhaltung europäischer Datenschutzstandards zu ermöglichen. Die Beteiligten wollten aus dem Ende von Safe Harbor lernen und die Aspekte verbessern, an denen das erste Abkommen gescheitert war.

Ergebnis der Verhandlungen war der EU-US Privacy Shield, eine informelle Absprache, die aus zahlreichen Regelungen bestand. Unter anderem sicherte die US-Regierung zu, den Zugriff auf personenbezogene Daten von EU-Bürgern zukünftig deutlich zu beschränken und zu kontrollieren. Im Übrigen setzten die beiden Seiten wieder auf ein System der Selbstzertifizierung. Unternehmen konnten sich erneut in eine Liste des US-Handelsministeriums eintragen und sich damit verpflichten, ausgehandelte Prinzipien zu wahren. Im Unterschied zu Safe Harbor wurden diesmal Mechanismen entwickelt, um die Achtung der Prinzipien zu kontrollieren und durchzusetzen. So sollten etwa EU-Bürger die Möglichkeit erhalten, sich bei einer unabhängigen Stelle über Verstöße zu beschweren. Die EU-Kommission fasste 2016 einen Angemessenheitsbeschluss, durch den sie anerkannte, dass die Zusicherungen der amerikanischen Seite im Rahmen des Privacy Shield den Datenschutzstandards der EU entsprechen.

Kritik und EuGH-Urteil von 2020

Die Kritik an der neuen Übereinkunft ließ nicht lange auf sich warten. Datenschützer bemängelten, dass weiterhin kein adäquates Datenschutzniveau gesichert sei. Insbesondere gebe es immer noch Zugriffsmöglichkeiten der US-amerikanischen Nachrichtendienste auf die Daten von EU-Bürgern.

„Datenschützer bemängelten, dass weiterhin kein adäquates Datenschutzniveau gesichert sei. Insbesondere gebe es immer noch Zugriffsmöglichkeiten der US-amerikanischen Nachrichtendienste auf die Daten von EU-Bürgern.“

Außerdem sei der Rechtsschutz auch unter dem Privacy Shield nicht ausreichend. Datenschutzaktivist Max Schrems wollte auch dieses Abkommen zu Fall bringen und strengte wiederum ein Verfahren in Irland an, das durch eine Vorlage den EuGH erreichte. Schrems war erneut erfolgreich. Der EuGH entschied im Juli 2020 über die Gültigkeit des Privacy Shield Beschlusses der Kommission. Maßstab war hierbei die inzwischen in Kraft getretene DSGVO. Das Gericht erklärte den Angemessenheitsbeschluss für ungültig.

Damit ist auch diese Vereinbarung unwirksam und kann nicht mehr als Grundlage für eine Übermittlung personenbezogener Daten von EU-Bürgern an US-Unternehmen genutzt werden. Diese Entscheidung begründeten die Richter mit dem weitreichenden Zugriff von US-Behörden auf die Daten und einem unzureichenden Schutz für betroffene Bürger. Der Privacy Shield sichere daher nicht das erforderliche Datenschutzniveau.

Aktuelle Rechtsfragen

Viele rechtliche Themen haben auch eine gesellschaftliche Relevanz. Diese waren in letzter Zeit besonders aktuell:

→ Sterbehilfe: Warum es nun doch erlaubt ist
→ Patientenverfügung & Generalvollmacht: Das kann schiefgehen
→ Organspende ohne aktive Zustimmung? Das sagt das Gesetz

Auch im öffentlichen Dienst spielt Datenschutz eine Rolle:

Der Datenschutzbeauftragte im Sozialreferat München im Interview

Standarddatenschutzklauseln

Die Konsequenz des Urteils ist, dass Unternehmen eine Datenübermittlung in die USA nicht mehr auf das Privacy Shield Abkommen stützen dürfen. Im Rahmen des Urteils entschied der EuGH jedoch auch, dass eine Datenübermittlung aus der EU in einen Drittstaat auf der Basis sogenannter Standarddatenschutzklauseln grundsätzlich zulässig sein kann. Bei diesen Klauseln handelt es sich um Musterverträge, die von der EU-Kommission erlassen werden. Wenn Daten aus der EU in einen Drittstaat exportiert werden, können Exporteur und Importeur der Daten einen entsprechenden Vertrag schließen. Dieser Vertrag, der die Einhaltung eines bestimmten Datenschutzniveaus garantieren soll, kommt als Rechtsgrundlage für die Übermittlung der Daten in Betracht.

Der EuGH verlangt jedoch, dass die Einhaltung der Bestimmungen in dem jeweiligen Drittland tatsächlich effektiv durchgesetzt werden muss. Da dies in den USA nicht ohne Weiteres der Fall ist, könnten zusätzliche eigene Maßnahmen erforderlich sein, damit US-amerikanische Unternehmen Standarddatenschutzklauseln als Rechtsgrundlage für eine Übermittlung personenbezogener Daten heranziehen dürfen.

Datenschutz muss effektiv sein. Absichtserklärungen und Selbstverpflichtungen alleine reichen nicht aus, um die Anforderungen des EU-Rechts zu erfüllen. Die Enthüllungen von Edward Snowden haben das Vertrauen in den transatlantischen Datenverkehr erschüttert. Es bleibt abzuwarten, welche Rahmenbedingungen die Beteiligten in Zukunft schaffen werden, um einen sicheren Datenaustausch zu ermöglichen.