Gestern (05.06.2018) hat das EU-Parlament für eine Aussetzung des EU-US-Privacy Shields gestimmt, bis die USA alle Bedingungen des Datenschutzabkommens erfüllen.

Was ist das Privacy Shield und warum braucht man es?

Datenschutzrechtlich betrachtet sind die USA ein unsicherer Drittstaat. Eine Übermittlung von Daten bedarf der Herstellung eines angemessenen Datenschutzniveaus bei dem datenempfangenden US-Unternehmen. Ein Werkzeug (neben Standardvertragsklauseln und Binding Corporate Rules) hierfür ist das seit 12.7.2016 geltende EU-US-Privacy-Shield. Das Verfahren sieht vor, dass das betroffene US-Unternehmen sich gemäß dem Privacy Shield zertifizieren lässt. Amerikanische Unternehmen werden bei der Zertifizierung vom zuständigen US-Handelsministerium begleitet, welches auch eine im Internet abrufbare Liste der zertifizierten Unternehmen zur Verfügung stellt.

Abstimmung

Bereits im Juni hatte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (englisch Committee on Civil Liberties, Justice and Home Affairs, kurz LIBE) die Europäische Kommission aufgefordert, das EU-US-Privacy Shield auszusetzen (wir berichteten).

Nun hat das EU-Parlament mit 303 zu 223 Stimmen (29 Enthaltungen) für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen ab 1. September gestimmt. Der Entschließungsantrag, über den abgestimmt wurde, attestiert dem Privacy Shield eine lange Liste von Mängeln. Das EU-Parlament ist der Ansicht, „dass das derzeitige EU-US-Privacy Shield kein angemessenes Schutzniveau bietet, wie es vom Unionsdatenschutzgesetz und der EU-Charta in der Auslegung durch den Europäischen Gerichtshof gefordert wird.“

Hauptkritikpunkte sind die mangelnden Zusagen der US-Regierung, die aus Sicht der EU nicht hinreichend unabhängige Ombudsperson auf amerikanischer Seite und die weitreichenden Zugriffsmöglichkeiten amerikanischer Behörden auf persönliche Daten von EU-Bürgern.

Weiteres Vorgehen

Nun liegt der Ball bei der EU-Kommission. Sie muss versuchen die Amerikaner zu Nachbesserungen zu bewegen. Die vom EU-Parlament verabschiedete Resolution ist rechtlich zwar nicht bindend, die EU-Kommission ist also frei in ihrer Entscheidung, ob sie ihr folgt oder nicht. Turnusgemäß findet im Herbst die jährliche Überprüfung der Wirksamkeit des Privacy Shields statt. Schon bei der letzten (und ersten) Überprüfung wurde viel bemängelt (vgl. hier und hier). Ob sich die EU-Kommission nach der Kritik bei der Kontrolle und der nun erfolgten Abstimmung des EU-Parlaments den Forderungen nach Nachbesserung bzw. Aussetzung entziehen kann und will ist unwahrscheinlich.

Auch der Europäische Gerichtshof beschäftigt sich derzeit mit der Wirksamkeit des Privacy Shields. Im Rechtsstreit zwischen Facebook und Max Schrems hat der irische High Court dem EuGH mehrere Fragen vorgelegt. Darunter auch die nach der Wirksamkeit des EU-US-Privacy Shields.

Bereits der Vorgänger des Privacy Shields, das sogenannte Safe Harbor Abkommen wurde vom EuGH für ungültig erklärt. Es ist nicht auszuschließen, dass die EU-Kommission die Entscheidung des EuGH abwarten will und sich um eine eigene Entscheidung drückt. Es bleibt spannend.