Privacy Shield: Erleichterung für US-Datentransfer

BELGIUM-EU-US-IT-PRIVACY-POLITICS-INTERNET
BELGIUM-EU-US-IT-PRIVACY-POLITICS-INTERNET(c) APA/AFP/THIERRY CHARLIER
  • Drucken

Das von der EU-Kommission abgesegnete neue Abkommen mit den USA verbessert den Datenschutz. Der Einzelne hat jedoch kaum Durchsetzungsmöglichkeiten.

Wien. Nach zähen Verhandlungen haben sich die EU-Kommission und das US-Department of Commerce auf neue Regeln für den Datentransfer zwischen Europa und den USA geeinigt. Auf Basis des Privacy Shield hat die Kommission vorige Woche eine Angemessenheitsentscheidung laut Datenschutzrichtlinie erlassen. Damit wird die durch den Fall des Safe-Harbor-Abkommens aufgerissene Lücke geschlossen und vorerst Rechtssicherheit für den in der vernetzten Welt unvermeidbaren Datentransfer über den Atlantik geschaffen: US-Unternehmen, die sich den Privacy-Shield-Bedingungen unterwerfen und dessen Auflagen einhalten, wird ein adäquates Datenschutzniveau attestiert.

Das Datenschutzgesetz verlangt für Übermittlungen und Überlassungen in Staaten außerhalb des EWR grundsätzlich eine Genehmigung der Datenschutzbehörde. Es sei denn, der Empfängerstaat verfügt über ein vergleichbares angemessenes Datenschutzniveau. Die Datenschutzangemessenheitsverordnung listet die privilegierten Drittstaaten auf. Als Konsequenz des EuGH-Urteils Schrems gegen Facebook (C-362/14) fiel 2015 die Ausnahme für US-Unternehmen unter Safe Harbor. Damit wurden alle auf dieser Basis durchgeführten Datentransfers in die USA schlagartig genehmigungspflichtig.

Die Entscheidung der Kommission hat die Lücke vorerst wieder geschlossen: Sie gilt unmittelbar, ohne dass die österreichische Verordnung nachgezogen werden müsste. Voraussetzung ist bloß, dass sich das Daten empfangende US-Unternehmen dem neuen Regime unterstellt. Das Grundgerüst des Privacy Shield ist dem Safe-Harbor-Abkommen sehr ähnlich: US-Unternehmen unterwerfen sich den vorgegebenen Bedingungen mit einer Selbstzertifizierung. Neu sind zusätzliche Sicherungsmaßnahmen: Neben der verpflichtenden Veröffentlichung von Privacy Policies der Unternehmen und einem Auskunftsrecht des Betroffenen greift vor allem die Pflicht zur Datenintegrität und zur Zweck- und Aufbewahrungsbeschränkung. Auch wurden Grundregeln und Beschränkungen für Zugriffe der US-Behörden eingeführt, die die anlasslose Massenüberwachung von EU-Bürgern eindämmen sollen. Damit die neuen, strengeren Grundsätze in der Praxis nicht (wieder) zu schnell erodieren, soll das Abkommen jährlich überprüft werden.

Auch unter dem neuen Regime ist der Transfer nicht nur zum unterworfenen US-Unternehmen, sondern auch an weitere Dienstleister zulässig, die sich diesem vertraglichen Schutzniveau ebenso verpflichtet haben. Dies gilt selbst dann, wenn sie sich in anderen unsicheren Drittstaaten als den USA befinden. Damit bekommen insbesondere die etablierten Cloud Services von US-Anbietern wieder eine rechtliche Basis.

Auch wenn nun strengere Regelungen gelten, fehlt es doch an effektiven Kontrollen. Der Einzelne ist weitestgehend vom Wohlwollen der US-Unternehmen und -Behörden abhängig. Er hat keine unmittelbaren Durchsetzungsmöglichkeiten gegen den Datenverarbeiter in den USA. Auch sonst bleibt das Schutzniveau hinter dem in Europa zurück. Das verzerrt nicht nur den Wettbewerb zulasten europäischer Unternehmen; auch eine neuerliche Anfechtung ist möglich. Fraglich ist dennoch, ob dem doch weiter gehenden Privacy Shield eine Abfuhr im selben Ausmaß droht oder ob nicht proaktiv im Rahmen der jährlichen Überprüfungen Nachbesserungen erfolgen oder aufgetragen werden.

Nur in Europa vor Zugriff sicher

Das Grundproblem des recht zügellosen Zugriffs auf Daten in den USA werden die EU und die Vereinbarung aber nicht lösen können. Damit ist die jüngste Entscheidung des New Yorker Berufungsgerichts, dass nur in Europa gespeicherte Daten dem Zugriff der US-Behörden entzogen sind (Microsoft vs United States, 2nd US Circuit Court of Appeals, No. 14-2985), richtungsweisend: Der als Konsequenz des Safe-Harbor-Urteils begonnene Aufbau europäischer Infrastruktur im Cloud-Bereich ist sicher die langfristig richtige Lösung, um einen angemessenen Datenschutz zu gewährleisten.


Dr. Axel Anderl LL.M. (IT-Law) ist Partner bei Dorda Brugger Jordis, axel.anderl@dbj.at, Mag. Nino Tlapak LL.M. (IT-Law) ist Rechtsanwaltsanwärter in seinem Team.

("Die Presse", Print-Ausgabe, 18.07.2016)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.