Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene „Stillhaltefrist“ bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.
Einen aktuellen Einblick in den Stand der Verhandlungen gab EU-Justizkommissarin Vera Jourová bei der Sitzung des Ausschusses für bürgerliche Freiheitsrechte, Justiz und Inneres des europäischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht auf Datenschutz auch für den Fall zu sichern, dass personenbezogene Daten ins Ausland transferiert werden und zugleich die Voraussetzungen dafür zu schaffen, dass die transatlantischen Datenflüsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden können. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung müsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen lässt.
Zur Erinnerung: Kernstück des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten „Safe Harbour-Prinzipien“ bekennen, ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten garantieren. Der EuGH hat in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gewährleistung der Privatsphäre (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Maßstab für die Angemessenheit des Schutzniveaus im Empfängerland bilden.
Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen für die aus Europa übermittelten Daten zu gewährleisten als auch einen diskriminierungsfreien Rechtsschutz für diejenigen Personen garantieren, deren Daten transferiert werden.
So muss eine rechtlich belastbare Beschränkung der Überwachungsaktivitäten der US-Sicherheitsbehörden erfolgen; eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-Bürger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten („US persons“) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende Überwachung würde den Wesensgehalt der Grundrechte verletzen. Ob diese Anforderungen durch die inzwischen erfolgten Gesetzesänderungen in den USA (US Freedom-Act) erfüllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschränken sich dessen Regelungen auf die Daten amerikanischer Bürger.
Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabhängigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Behörden nachzugehen, scheinen sich die Positionen zwar angenähert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten Änderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC). Von einer rechtlichen Gleichstellung der EU-Bürgerinnen und -Bürger mit US-Bürgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschließend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) zeigt. So müssen EU-Bürger – anders als US-Personen – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.
Der JRA garantiert den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzuräumen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Behörden verweigert oder diese erschwert.
Schließlich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete Änderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Ansprüche erhalten können, die den kommerziellen Datentransfer in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern („in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States”). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene Änderung – dabei, dass die US-Administration darüber entscheidet, ob und welche Bürger Anspruch auf rechtliches Gehör bekommen. Ein robuster Grundrechtsschutz sieht anders aus.
Sollte die Europäische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung für den Datentransfer in die USA treffen, würde sie ein großes Risiko eingehen, dass auch dieser neue Rahmen für die Datenübermittlung in die USA die Prüfung durch den Europäischen Gerichtshof nicht übersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System würde den erforderlichen Grundrechtsschutz der Bürgerinnen und Bürger nicht gewährleisten und wäre letztlich auch nicht im Interesse der europäischen oder amerikanischen Wirtschaft.
Update (02.02.2016, 17:15):
Die Europäische Kommission hat auf einer Pressekonferenz in Brüssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourová soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbehörden. EU-Bürger bekämen das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den nächsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepräsident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine jährliche „Joint Review“, an der auch die Datenschutzbehörden beteiligt würden, soll die Umsetzung der Vereinbarung überprüft werden.