Datenschutz: Ein Schild, der keine Deckung gibt

(c) Bloomberg (Chris Ratcliffe)
  • Drucken

Ob der Privacy Shield vor dem EuGH halten wird, ist ungewiss. Zu unterschiedlich scheinen die Rechtstraditionen von EU und USA. Unternehmen sollten bei Datentransfers in die USA nicht nur auf den Privacy Shield bauen.

Wien. Im Februar hat die EU-Kommission den Privacy Shield vorgestellt, der Datentransfers an US-Unternehmen auf neue Beine stellen soll. Die Vorgängerregelung Safe Harbor war vom EuGH im Herbst für ungültig erklärt worden.

Entgegen der in der Vorwoche an dieser Stelle vertretenen Meinung, dass die „Zeit der Kritik nunmehr vorbei“ sei, besteht aber ein großes Risiko, dass der EuGH auch den Privacy Shield für ungültig erklären wird. Denn obwohl er Safe Harbor aus formalen Gründen aufgehoben hat, ließ er klar erkennen, dass er das Handeln der US-Geheimdienste und die entsprechenden Rechtsgrundlagen in mehrfacher Hinsicht sehr kritisch beurteilt.

Mit einem Sammelsurium unterschiedlicher Dokumente und Erklärungen versucht der Privacy Shield nun, Wesensunterschiede zwischen dem europäischen Datenschutzrecht und dem US-Recht zu überbrücken. Ob das gelingt, ist äußerst zweifelhaft, denn diese Unterschiede sind groß.

Privatsphäre wenig geschützt

Zunächst kennt die Verfassung der USA im Unterschied zur EU-Grundrechtscharta oder dem österreichischen Verfassungsrecht kein umfassendes Grundrecht auf Privatsphäre. Der vierte Verfassungszusatz schützt lediglich vor unverhältnismäßigen Durchsuchungen und Beschlagnahmungen, was nach der Rechtsprechung des US Supreme Court allerdings nur gilt, wenn eine berechtigte Erwartung auf Privatsphäre („reasonable expectation of privacy“) besteht. Eine solche fehlt aber bereits dann, wenn die fragliche Information mit jemandem anderen als einem Familienmitglied oder Freund geteilt wird. Insbesondere sind sämtliche Daten, die einem IT-Unternehmen anvertraut werden, nicht verfassungsrechtlich geschützt. Weiters sind die durch die US-Verfassung gewährleisteten Rechte grundsätzlich nur Bürgerrechte und keine Menschenrechte, gelten daher auch nur für US-Staatsbürger und für Personen mit Wohnsitz in den USA.

Ein weiterer Wesensunterschied liegt im Legalitätsprinzip: Es besagt, dass der Staat nur mit entsprechender gesetzlicher Grundlage hoheitlich handeln darf. Im Unterschied zur österreichischen Verfassung (Art. 18 B-VG) kennt jene der USA keine derartige Handlungsbeschränkung. Dem Staat ist daher alles erlaubt, was ihm nicht ausdrücklich verboten ist. Dies führt dazu, dass der Staat umfangreiche Geheimaktivitäten entfalten kann wie insbesondere die Überwachungsprogramme der NSA, die de facto den gesamten weltweiten Internetverkehr überwachen.

Geheime Weisungen

Zur Rechtfertigung des Privacy Shields verweist die EU-Kommission auf verschiedene Presidential Policy Directives, die den Handlungsspielraum der US-Geheimdienste beschränken. Das sind allerdings keine Gesetze, sondern nur Weisungen des US-Präsidenten, somit eine Art Selbstbeschränkung der Exekutive. Dies ist mit einem Gesetz deshalb nicht vergleichbar, weil der aktuelle oder nächste US-Präsident diese Weisungen jederzeit ändern könnte und diese Änderung zudem auch im Geheimen erfolgen kann. So hat Barack Obama bisher (zumindest) 19 geheime Presidential Policy Directives erlassen.

Auch der im Februar in den USA in Kraft getretene Judicial Redress Act schafft nicht die notwendigen Handlungsschranken. Er gewährt EU-Bürgern lediglich das Recht auf Auskunft und Richtigstellung gegenüber den US-Strafverfolgungsbehörden, jedoch keine Rechte auf Datenlöschung oder Schadenersatz oder gar Rechte gegenüber den US-Geheimdiensten.

US-Recht gilt außerdem grundsätzlich nur auf dem Territorium der USA. Das Handeln von Staatsorganen im Ausland unterliegt daher weder der Verfassung noch dem Gesetzesrecht der USA. Im Ausland von der NSA gesetzte Handlungen unterliegen also nicht dem US-Recht, sondern allenfalls behördeninternen Weisungen, deren Verletzung lediglich ein Disziplinarvergehen darstellt.

Nach europäischer Rechtstradition wird nationales (Straf-)Recht hingegen auch auf Taten angewendet, die von Inländern im Ausland begangen werden. Darüber hinaus setzt die Anerkennung von Menschenrechten – statt bloß Bürgerrechten – dem Handeln europäischer Staaten im Ausland Grenzen.

Der Privacy Shield kann die Unterschiede zwischen den Rechtstraditionen in Europa und den USA nicht ganz überbrücken, sodass jedenfalls damit zu rechnen ist, dass er beim EuGH angefochten werden wird. Angesichts der erheblichen Datenschutzrechtsdefizite in den USA ist eine Nichtigerklärung durch den EuGH eine realistische Gefahr. Unternehmen sollten sich bei ihren internationalen Datentransfers daher nicht auf die Rechtsbeständigkeit des Privacy Shields verlassen, sondern alternative Rechtsinstrumente wie insbesondere EU-Standardvertragsklauseln erwägen.


Dr. Lukas Feiler, SSCP CIPP/E, ist Rechtsanwalt bei Baker & McKenzie, Fellow des Stanford-Vienna Transatlantic Technology Law Forum.

("Die Presse", Print-Ausgabe, 14.03.2016)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.