Am Freitag erregte die Meldung Aufmerksamkeit, dass US-Präsident Trump einen Erlass zur „Verbesserung der Inneren Sicherheit“ unterzeichnet hat, mit dem der Geltungsbereich des Privacy Act (US Datenschutzgesetz) eingeschränkt wird. Amerikanische Behörden sollen in Übereinstimmung mit geltendem Recht sicherstellen, dass nur US-Bürger und Personen mit dauerhafter Aufenthaltserlaubnis unter den Schutz des “Privacy Act” fallen.

Was bedeutet das für die persönlichen Daten von Europäern?

Es werden täglich personenbezogene Daten von Europäern in die USA übermittelt – dies ist beispielsweise auch der Fall, wenn Server, die für einen Dienst genutzt werden, sich in den USA befinden. Die USA sind datenschutzrechtlich betrachtet ein unsicheres Drittland, denn dort gilt nicht dasselbe Datenschutzniveau wie in Europa. Damit Datenübermittlungen in die USA trotzdem rechtmäßig erfolgen können, bietet ein Abkommen zwischen den Mitgliedstaaten der Europäischen Union und den USA eine Möglichkeit, ein solches angemessenes Niveau zu schaffen: der EU-US Privacy Shield. Dieses Abkommen ist das Nachfolgeabkommen des Safe Harbor Abkommens, das 2015 durch den EuGH im Rahmen der Schrems-Entscheidung für ungültig erklärt worden war.

Ist der EU-US Privacy Shield nun ungültig?

Der Erlass hat sofort Befürchtungen laut werden lassen, dass das Privacy Shield-Abkommen hinfällig geworden sein könnte. Denn wenn nun per Erlass die Geltung von Datenschutzgesetzen für EU-Bürger eingeschränkt oder gar aufgehoben wird, dann stellt sich die Frage, inwieweit US -Unternehmen, die sich nach dem Abkommen zur Einhaltung gewisser Datenschutzstandards verpflichtet haben, dies noch gewährleisten können. So äußerte auch EU-Parlamentsmitglied Jan Philipp Albrecht, der an der Ausarbeitung des EU-US-Privacy -Shields beteiligt war, in einer ersten Reaktion, dass das Abkommen durch die Anordnung Trumps seine Gültigkeit verloren haben könnte.

Der Privacy Act, dessen Geltungsbereich Trump beschränkt hat, gilt zunächst nur für US Bürger.  Der Privacy-Shield basiert jedoch nicht auf dem Privacy Act, wie inzwischen eine Sprecherin der Kommission bestätigt hat. Für den Fortbestand des Shields ist vielmehr der von der Obama-Administration erlassene Judicial Redress Act entscheidend; dieses Gesetz erstreckt den Schutz datenschutzrechtlicher Bestimmungen auf nicht-US-Bürger und räumt ihnen Klagemöglichkeiten gegen Datenschutzverstöße ein. Die Einschränkungen des aktuellen Erlasses sollen nur innerhalb des gesetzlich Zulässigen gelten, so dass der Privacy-Shield nicht per se wirkungslos ist. Ob der Redress Act unter Trump Bestand haben wird, bleibt abzuwarten.

Was bedeutet die Entwicklung für Unternehmen?

In einem Interview mit der SZ sagte Albrecht: „Wir müssen uns auf jeden Fall ganz genau ansehen, wie dieser Erlass umgesetzt wird. Wenn es zu Verstößen gegen die Vereinbarungen kommt, müsste die EU-Kommission entsprechend sanktionieren, etwa in dem das “Privacy Shield” suspendiert wird. Das würde bedeuten, dass einige Dienste amerikanischer Firmen in Europa vielleicht nicht mehr angeboten werden könnten.“

Sollte sich die Marschroute Trumps, was den Datenschutz betrifft, fortsetzten, dann werden europäische Unternehmen möglicherweise eine Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums erwägen müssen. Wir werden die Entwicklung beobachten und weiter darüber in diesem Blog berichten.