Wird der EuGH auch die neue Privacy-Shield-Vereinbarung aufheben?
Dass die EU im Verhältnis zu den USA immer wieder die Rolle des Juniorpartners einnimmt, zeigt sich jüngst am Beispiel des Datenschutzes: Die Weitergabe von personenbezogenen Daten von EU-Bürgern an US-Unternehmen wurde im Zuge von Enthüllungen über die Methoden der US-Sicherheitsbehörden und den Stellenwert des Datenschutzes in der dortigen Rechtsordnung zunehmend zum heißen Thema.
Nach wie vor aber blieben die USA aus Sicht des europäischen Datenschutzes ein „sicherer Drittstaat“ mit einem ausreichenden Datenschutzrecht, sofern sich ein US-Unternehmen den Safe-Harbor-Regeln des US-Handelsministeriums unterworfen hatte. Diese Position gründete sich auf eine sogenannte Angemessenheitsentscheidung der EU-Kommission, den „sicheren Hafen“.
Eine Wende erfuhr die Situation im Herbst 2015, als der Europäische Gerichtshof (EuGH) den Safe Harbor aufhob – begründet mit einer scharfen Kritik an der Massenüberwachung durch die US-Sicherheitsbehörden und den mangelhaften Rechtsschutz. So wurden die USA über Nacht in Bezug auf Datenweitergaben auch an zuvor dem Safe Harbor unterliegende US-Unternehmen ein unsicherer Drittstaat und unterlagen den strengsten Regelungen des Datenschutzrechts.
Die neue Regelung
In Österreich war damit jede Datenweitergabe nur mit einer Genehmigung der Datenschutzbehörde (DSB) zulässig, was insbesondere bei Unternehmen mit starkem US-Bezug zu erheblichen praktischen Schwierigkeiten beim Datenaustausch führte.
Nun hat die EU-Kommission nach intensiven Verhandlungen mit den US-Behörden den EU/US-Privacy-Shield beschlossen, der am 12. Juli in Kraft getreten ist. Trotz des neuen Namens, einiger unterschiedlicher Konzepte und erweiterter Pflichten im Detail, um der Kritik des EuGH Rechnung zu tragen, ist die neue Regelung im Kern dem Safe Harbor vergleichbar.
Heikle Massenüberwachung
Es handelt sich wieder um eine Angemessenheitsentscheidung der Kommission. US-Unternehmen können sich freiwillig gewissen Auflagen unterwerfen und sich so in die Privacy-Shield-Liste eintragen lassen; Datenweitergabe an diese Unternehmen gilt als Weitergabe in einen sicheren Drittstaat.
Allerdings ist der neue Rechtsrahmen weniger schutzwahrend, als dies präsentiert wird. Aus dem „robusten Rechtsschutz“ für EU-Bürger etwa ist ein im US-Außenamt angesiedelter „Ombudsman“ geworden, der allfällig Bürgerbeschwerden weiterverfolgen würde.
Zur Massenüberwachung wurden „Zusicherungen“ vereinbart, echte Rechtsfolgen sind aber nicht zu finden. Vielmehr wird sogar anerkannt, dass es durchaus zu weiteren Fällen der Massenüberwachung kommen kann, falls dies aus „Gründen der nationalen Sicherheit“ notwendig ist. Von einer echten Anpassung an europäische Datenschutzstandards kann also keine Rede sein.
Insgesamt hinterlässt die Entscheidung den Eindruck einer temporären Notlösung. Denkbar ist, dass auch diese Entscheidung vom EuGH aufgehoben wird. Derzeit können also – für betroffene Unternehmen durchaus erfreulich – Datenweitergaben an US-Firmen auf die Entscheidung gestützt werden; in Österreich ist derzeit keine Genehmigung der DSB mehr notwendig – für wie lang ist aber ungewiss. Es bleibt abzuwarten, ob sich wieder jemand findet, um auch den Privacy Shield vor den EuGH zu bringen – und ob der EuGH, wie von einigen erwartet, auch diese Entscheidung aufheben wird.
Dr. David Christian Bauer ist Country Managing Partner, Stefan Panic ist Associate bei DLA Piper Weiss-Tessbach Rechtsanwälte in Wien.
E-Mails an: debatte@diepresse.com
("Die Presse", Print-Ausgabe, 29.07.2016)