30
Jan
2017

Hebelt US-Präsident Trump’s Executive Order den EU-US Privacy Shield aus?

Die jüngsten Amtshandlungen von US-Präsident Trump bestimmen momentan nicht nur die täglichen Nachrichten, sondern sind auch Gegenstand aktueller Diskussionen der Europäischen Datenschützer: Konkret geht es um eine von US-Präsident Trump am 25. Januar 2017 unterzeichnete präsidiale Anordnung “zur Verbesserung der öffentlichen Sicherheit”. Einigen Stimmen zufolge unterlaufe diese Anordnung die Zusicherungen der Obama-Administration, auf denen der EU-US Privacy Shield beruht, wodurch der EU-US Privacy Shield keine ausreichende rechtliche Absicherung für Datentransfers in die USA mehr darstelle. Tatsächlich stellt sich dies nach der gegenwärtigen Sach- und Rechtslage jedoch nicht so dar, so dass sich betroffene Unternehmen durch den Fluss der aktuellen Diskussion nicht zu übereilten Entscheidungen hinreißen lassen sollten.

Ausgangspunkt: Der EU-US Privacy Shield

Gegenstand der Diskussion ist der EU-US Privacy Shield, der seit rund einem halben Jahr an die Stelle des US-EU Safe Harbor Abkommens getreten ist, nachdem der entsprechende Safe-Harbor-Angemessenheitsbeschluss der EU-Kommission vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2015 für nichtig erklärt wurde.

Auf Grundlage eines entsprechenden neuen Angemessenheitsbeschlusses der EU-Kommission kann der EU-US Privacy Shield seit dem 12. Juli 2016 als Mechanismus für Datentransfers aus der EU in die USA verwendet werden. Seitdem haben sich rund 1.500 in den USA niedergelassene Anbieter nach dem EU-US Privacy Shield zertifizieren lassen (die entsprechende Liste ist hier abrufbar). Für Unternehmen aus der EU reicht die Zertifizierung aus, um personenbezogene Daten an die entsprechenden US-Unternehmen im Einklang mit den europäischen Datenschutzgesetzen zu übermitteln.

Der Angemessenheitsbeschluss der EU-Kommission, mit dem der EU-US Privacy Shield als wirksamer Transfermechanismus anerkannt wird, beruht auf mehreren Zusicherungen der US-Regierung, die mit einigen Gesetzesänderungen in den USA einhergingen. Insbesondere beruhte der Angemessenheitsbeschluss auf dem vom US-Kongress im Februar 2016 erlassenen “Judicial Redress Act” sowie auf dem darauf aufbauenden “Umbrella Agreement” zwischen der EU und der den USA (insbes. Art. 19). Danach können sich Bürger*innen aus vom US-Justizministerium benannten EU-Staaten auf Rechte berufen, die auch US-Bürgern nach dem US “Privacy Act” zustehen, und sich unter gewissen Voraussetzungen an US-Behörden wenden können, wenn sie der Auffassung sind, dass diese ihre personenbezogene Daten zu Unrecht verarbeiten.

Die “Executive Order” von US-Präsident Trump

US-Präsident Trump unterzeichnete am 25. Januar 2017 eine die Einwanderung in die USA betreffende Executive Order (= eine präsidiale Durchführungsanordnung) mit dem Titel “Enhancing Public Safety in the Interior of the United States“. Darin heißt es in Abschnitt 14:

“Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”

= “Soweit dies mit anwendbarem Recht in Einklang steht, haben die Behörden sicherzustellen, dass solche Personen, die weder US-Staatsangehörige sind noch einen gesetzmäßigen ständigen Aufenthalt in den USA haben, vom Schutz des Privacy Act bezüglich ihrer personenbezogenen Daten ausgeschlossen sind.”

Diese Anordnung wurde nach ihrem Bekanntwerden – vor allem wohl durch die Bezugnahme auf den “Privacy Act” – teilweise so verstanden, dass die Garantien, die unter dem Judicial Redress Act und unter dem Umbrella Agreement eingeräumt worden sind, nunmehr nicht mehr gelten sollen. Diese Schlussfolgerung liegt jedoch nicht sonderlich nahe, wofür insbesondere die folgenden beiden Gründe sprechen:

  • Zunächst steht die Anordnung unter dem ausdrücklichen Vorbehalt, dass das bestehende anwendbare Recht von ihr nicht berührt werden soll (“to the extent consistent with applicable law“). Der Judicial Redress Act ist unter das anwendbare Recht zu fassen und wird entsprechend von der Anordnung nicht in seiner Wirksamkeit beeinträchtigt. Es bestehen zudem keine Indizien, wonach die von der Anordnung des Justizministers betroffene Liste der vom Judicial Redress Act abgedeckten Staaten zu Ungunsten Europäischer Staaten abgeändert werden soll.
  • Darüber hinaus beruht die rechtliche Zulässigkeit von Datentransfers nicht unmittelbar auf den Zusicherungen und legislativen Maßnahmen der USA, sondern auf dem im Einklang mit Art. 25 Abs. 6 der EU-Datenschutzrichtlinie 95/46/EG erlassenen Angemessenheitsbeschluss der EU-Kommission. In diesem macht der Judicial Redress Act allenfalls einen Teilaspekt für die Begründung des angemessenen Datenschutzniveaus aus. Solange der Angemessenheitsbeschluss weder aufgehoben noch ausgesetzt wurde, kann er mithin auch als Transfermechanismus verwendet werden.

Wie geht es weiter?

Im Hinblick auf die gegenwärtige Diskussion gilt wie so häufig, übereilte Schritte zu vermeiden. Die bisher geäußerte Kritik am EU-US Privacy Shield ändert nichts daran, dass ein wirksamer Angemessenheitsbeschluss der EU-Kommission besteht, der gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie (bzw. künftig: Art. 45 Abs. 1 DSGVO) als rechtlicher Mechanismus für Datentransfers in die USA verwendet werden darf.

Die Diskussion um die Auswirkungen der Executive Order sollte daher zunächst beobachtet, und insbesondere Stellungnahmen der Datenschutzbehörden abgewartet werden. Interessant dürfte zudem werden, ob das US-Justizministerium die Anordnung zum Anlass nimmt, die Liste der vom Judicial Redress Act abgedeckten Staaten zu ändern – hierauf bestehen gegenwärtig aber noch keine Hinweise. Darüber hinaus ist im Blick zu behalten, wann und mit welchem Ergebnis die EU-Kommission von ihrem Recht zur Überprüfung ihres Angemessenheitsbeschlusses Gebrauch macht.

Praxistipps

Insgesamt ist Unternehmen damit nach wie vor zu raten, umfassend und eingehend zu prüfen, in welchem Umfang sie personenbezogene Daten in die USA übermitteln, etwa zu verbundenen Unternehmen oder Dienstleistern, und welche Mechanismen zur rechtlichen Absicherung dieser Datentransfers im Einzelnen eingesetzt werden. Dies gilt gerade auch im Hinblick auf die derzeitigen Überprüfungen der Landesdatenschutzbehörden, die durch die aktuellen Diskussionen nur noch an zusätzlich Brisanz gewinnen.

Alternative Mechanismen zum EU-US Privacy Shield sind insbesondere:

  • Standardvertragsklauseln,
  • Binding Corporate Rules (verbindliche Unternehmensrichtlinien),
  • zur Abdeckung von Einzelfällen auch Einwilligungen der betroffenen Personen.

Hierbei kann es auch ratsam sein, etwa in Verträgen mit nach dem EU-US Privacy Shield zertifizierten Dienstleistern, alternative Transfermechanismen wie Binding Corporate Rules oder Standardvertragsklauseln als zusätzlichen Schutzmechanismus zu vereinbaren.

Sollten Sie zu dieser Thematik Fragen haben, wenden Sie sich gerne an unser Datenschutzteam.

English-speaking visitors might also want to visit our Hogan Lovells Chronicles of Data Protection Blog.