Tag Archives: Europäischer Gerichtshof

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Doch (k)ein sicherer Hafen? (mit Update vom 02.02.2016, 17:15)

Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene „Stillhaltefrist“ bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.

Einen aktuellen Einblick in den Stand der Verhandlungen gab EU-Justizkommissarin Vera Jourová bei der Sitzung des Ausschusses für bürgerliche Freiheitsrechte, Justiz und Inneres des europäischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht auf Datenschutz auch für den Fall zu sichern, dass personenbezogene Daten ins Ausland transferiert werden und zugleich die Voraussetzungen dafür zu schaffen, dass die transatlantischen Datenflüsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden können. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung müsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen lässt.

Zur Erinnerung: Kernstück des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten „Safe Harbour-Prinzipien“ bekennen, ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten garantieren. Der EuGH hat in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gewährleistung der Privatsphäre (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Maßstab für die Angemessenheit des Schutzniveaus im Empfängerland bilden.

Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen für die aus Europa übermittelten Daten zu gewährleisten als auch einen diskriminierungsfreien Rechtsschutz für diejenigen Personen garantieren, deren Daten transferiert werden.

So muss eine rechtlich belastbare Beschränkung der Überwachungsaktivitäten der US-Sicherheitsbehörden erfolgen; eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-Bürger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten („US persons“) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende Überwachung würde den Wesensgehalt der Grundrechte verletzen. Ob diese  Anforderungen durch die inzwischen erfolgten Gesetzesänderungen in den USA (US Freedom-Act)  erfüllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschränken sich dessen Regelungen auf die Daten amerikanischer Bürger.

Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabhängigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Behörden nachzugehen, scheinen sich die Positionen zwar angenähert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten Änderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC). Von einer rechtlichen Gleichstellung der EU-Bürgerinnen und -Bürger mit US-Bürgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschließend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) zeigt. So müssen EU-Bürger – anders als US-Personen – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Der JRA garantiert den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzuräumen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Behörden verweigert oder diese erschwert.

Schließlich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete Änderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Ansprüche erhalten können, die den kommerziellen Datentransfer in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern („in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States”). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene Änderung – dabei, dass die US-Administration darüber entscheidet, ob und welche Bürger Anspruch auf rechtliches Gehör bekommen. Ein robuster Grundrechtsschutz sieht anders aus.

Sollte die Europäische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung für den Datentransfer in die USA treffen, würde sie ein großes Risiko eingehen, dass auch dieser neue Rahmen für die Datenübermittlung in die USA  die Prüfung durch den Europäischen Gerichtshof nicht übersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System würde den erforderlichen Grundrechtsschutz der Bürgerinnen und Bürger nicht gewährleisten und wäre letztlich auch nicht im Interesse der europäischen oder amerikanischen Wirtschaft.

Update (02.02.2016, 17:15):

Die Europäische Kommission hat auf einer Pressekonferenz in Brüssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourová soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbehörden. EU-Bürger bekämen das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den nächsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepräsident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine jährliche „Joint Review“, an der auch die Datenschutzbehörden beteiligt würden, soll die Umsetzung der Vereinbarung überprüft werden.

27.01.2016: EAID-Veranstaltung zu den Konsequenzen aus dem EuGH-Urteil zu Safe Harbor

Am Mittwoch, dem 27. Januar 2016, ab 18 Uhr (Vorabend des Europäischen Datenschutztags) führt die EAID in den Räumen der Europäischen Akademie Berlin (Grundewald), Bismarckallee 46/48, eine Vortrags- und Diskussionsveranstaltung Konsequenzen aus dem EuGH-Urteil vom 6. Oktober 2015 zu Safe Harbor durch.

Wegen der beschränkten Platzzahl wird um Anmeldung per E-Mail unter gf@eaid-berlin.de gebeten

 

Weitere Informationen

EuGH-Entscheidung zur Google-Suche – Etappensieg für den Datenschutz

Einen Monat nach seiner wegweisenden Entscheidung zur Vorratsdatenspeicherung hat der europäische Gerichtshof (EuGH) erneut ein wichtiges Urteil zum Datenschutz gesprochen: In seiner heutigen Entscheidung C-131/12 hat der EuGH klargestellt, dass sich die Firma Google an europäisches Datenschutzrecht halten muss, wenn sie in Europa tätig ist und dabei personenbezogene Daten verarbeitet. Insbesondere hat das Gericht damit Praktiken einen Riegel vorgeschoben, durch die Aufteilung der Konzernaktivitäten auf verschiedene formell unabhängige juristische Personen dem europäischen Datenschutzrecht zu entfliehen. Google Spanien handelt – so die Gerichtsentscheidung – als Teil der weltweit agierenden Google-Gruppe auf spanischem Boden. Dementsprechend unterliegen die auch in Europa abrufbaren personenbezogenen Suchergebnisse spanischem Recht, obwohl die Konzernmutter ihren Sitz in den USA hat.

Die Entscheidung ist jedoch auch aus einem anderen Grund bemerkenswert: Sie macht deutlich, dass Unternehmen, deren Aktivitäten in großem Umfang darin bestehen, weltweit verfügbare Informationen zu sammeln, zu bewerten und aufzubereiten, datenschutzrechtlich verantwortlich sind. Sie können sich nicht mit dem Argument herausreden, lediglich technisch das zusammenzufassen, was ohnehin schon im Internet verfügbar ist. Dies bedeutet, dass Informationen, die nach europäischem Recht gelöscht werden müssen oder die nicht weiter verbreitet werden dürfen, auch von Suchmaschinenbetreibern nicht unkontrolliert verwendet werden dürfen.

Um hier einem Missverständnis vorzubeugen: Der EuGH hat hier kein absolutes „Recht auf Vergessenwerden“ formuliert. Wie auch das deutsche Bundesverfassungsgericht macht auch der europäische Gerichtshof deutlich, dass es um eine Interessenabwägung geht. Bei dieser Interessenabwägung ist nicht allein die Sensitivität des einzelnen Datums entscheidend, sondern der Kontext, in dem die Daten angefallen sind und wie sie verwendet werden. So spielt es eine entscheidende Rolle, inwieweit die Daten von einer Person stammen, die in der Öffentlichkeit steht. Auch das deutsche Recht kennt entsprechende Regelungen, bei denen Personen der Zeitgeschichte anders behandelt werden als Menschen, die nicht zu öffentlichen Debatten Anlass geben (vgl. die „Lebach-Entscheidung“ des Bundesverfassungsgerichts von 1973).

Bemerkenswert ist, dass das höchste europäische zum zweiten Mal in kurzer Folge deutlich gemacht hat, dass es sich als Wächter der europäischen Grundrechte versteht. Diese Meta- Botschaft ist auch im Hinblick auf die Debatte um die Zukunft des EU-Datenschutzes von großer Bedeutung.

Mit freundlichen Grüßen

Peter Schaar