Letzte Woche berichteten wir in unserem Blogartikel „Privacy First – Macht Trump Datenschutz Great Again?“ über die ersten Tage des 45. Präsidenten der USA Donald Trump. Damals wurde es nur angedeutet, nunmehr ist es jedoch Realität geworden und Präsident Trump hat sich mittels einer sog. Executive Order in den Datenschutz der USA eingemischt, die erhebliche Auswirkungen auf das EU-U.S. Privacy Shield haben könnte.
Der Inhalt im Überblick
Aktueller Stand zum Privacy Shield
Das EU-U.S. Privacy Shield ist eine freiwillige, jährliche Selbstverpflichtung von außereuropäischen Unternehmen, die durch einen Angemessenheitsbeschluss von der EU Kommission vom 12.07.2016 anerkannt wurde und einen sicheres Datenschutzniveau bei der Übermittlung von personenbezogenen Daten aus der EU in die USA sicherstellt.
Die 1.555 Unternehmen (Stand: 30.01.2017), die sich derzeit dem Privacy Shield angeschlossen haben, verpflichten sich diesbezüglich folgende Verpflichtungen einzuhalten:
- Informationspflicht („Notice“)
- Wahlmöglichkeit („Choice“)
- Verantwortlichkeit für Weitergabe („Onward Transfers“)
- Sicherheit („Security“)
- Datenintegrität und Zweckbindung („Data Integrity & Purpose Limitation“
- Auskunftsrecht („Access“)
- Rechtsschutz, Durchsetzung und Haftung („Recourse, Enforcement & Liability“)
Im Vergleich zum Vorgänger Safe Harbor wurden durch das Privacy Shield die Kriterien, die ein Unternehmen erfüllen muss, erheblich verschärft. Besonderes Augenmerk ist hierbei insbesondere auf den Punkt „Rechtsschutz, Durchsetzung und Haftung“ zu richten, der durch den sog. Judicial Redress Act verdeutlicht wird.
Präsident Trump unterschrieb nunmehr am 25. Januar 2017 eine sog. Executive Order zur „Verbesserung der öffentlichen Sicherheit“, die ein eklatantes Risiko für die Zukunft des EU-U.S. Privacy Shield bedeuten könnte.
Was ist eine Executive Order?
Bei einer Executive Order handelt es sich um ein Dekret des U.S. Präsidenten, das dieser ohne Zustimmung des U.S. Kongresses zur Gesetzgebung benutzen kann. Es fällt damit unter den weiten Anwendungsbereich des Artikels II der U.S. Verfassung. Fälschlicherweise wird oftmals davon ausgegangen, dass der U.S. Präsident durch ein solches Dekret neue Gesetze schaffen könnte. Diese Macht hat er allerdings im Rahmen einer Executive Order nicht. Der U.S. Präsident kann die Exekutive hiermit allerdings anweisen, wie sie im Rahmen eines durch den Kongress erlassenen Gesetzes und der Verfassung handeln sollen. Jüngst unterschrieb Präsident Trump nicht nur die datenschutzrechtlich relevante Executive Order zur „Verbesserung der öffentlichen Sicherheit“, sondern auch zum Einreiseverbot bestimmter Ausländer/Flüchtlinge.
Executive Order zur „Verbesserung der öffentlichen Sicherheit“
Aus datenschutzrechtlicher Sicht spielt insbesondere das einwanderungsbezogene Dekret zur „Verbesserung der öffentliche Sicherheit“ eine große Rolle, da hiermit die Frage über die Zukunft des EU-U.S. Privacy Shield aufgeworfen wird.
Section 14 der Executive Order lautet:
“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”
Mittels dieses Dekrets dürfte nach Ansicht von Peter Schaar, ehemaliger Bundesbeauftragter für Datenschutz und Informationsfreiheit (2003-2013), die Zukunft des Privacy Shield ungewiss sein. Das Privacy Shield basiert auf einem Angemessenheitsbeschluss der EU Kommission. Eine Voraussetzung der Anerkennung des Privacy Shield nach der Safe Harbor Entscheidung vom 6. Oktober 2015 (EuGH 6.10.15 – C-362/14) war die Umsetzung des im Februar 2016 unter der Obama Administration beschlossenen Judicial Redress Act 2015. Das Gesetz ermöglicht es EU Bürgern, sich an US-Behörden zu wenden, wenn US-Unternehmen gegen Datenschutzrechte verstoßen. Dies geschieht dadurch, dass Judicial Redress Act EU-Bürgern gewisse Rechtsmittel des Privacy Acts zuspricht. Diese „Privilegierung“ könnte nunmehr laut Peter Schaar durch die Executive Order von Präsident Trump passé sein.
Dabei dreht sich alles um die Frage, wie die Anordnung künftig von der Exekutive ausgelegt wird. Wie vorhin erläutert haben Gesetze gegenüber der Executive Order Vorrang und den Betroffenen müssten die Rechtsmittel des Privacy Acts aufgrund des Judicial Redress Act weiterhin zur Verfügung gestellt werden. Und selbst, wenn dies nicht der Fall wäre, gibt es Stimmen die weiterhin keine Auswirkungen für den Privacy Shield sehen. Denn der Privacy Act beinhaltet Rechtsmittel gegenüber der Datenverarbeitung durch die Regierung, wobei das Privacy Shield auf die Datenverarbeitung von privaten Unternehmen abzielt. Zudem bleiben die weiteren Garantien der US-Regierung bislang unberührt. Dennoch scheint auch die EU-Kommission alarmiert. Eine Sprecherin versicherte:
“We will continue to monitor the implementation of both instruments and are following closely any changes in the U.S. that might have an effect on European’s data protection rights.”
Gefährliche Gratwanderung
Auch wenn die Executive Order von Präsident Trump nicht direkt das Privacy Shield unter Beschuss nimmt, bleibt diese Maßnahme eine Gratwanderung, die zu nicht unerheblichen Konsequenzen führen könnte. In wirtschaftlicher Hinsicht hätte eine Suspendierung des Privacy Shield unabsehbare Auswirkungen für einige Unternehmen und vor allen Dingen in das Vertrauen in den USA in Sachen Datenschutz. Selbst US-Unternehmen scheinen besorgt, wie es weitergehen soll. Jan Philipp Albrecht äußerte sich in einem Tweet direkt nach der Bekanntmachung des Dekrets wie folgt:
„If this is true @EU_Commission has to immediately suspend #PrivacyShield & sanction the US for breaking EU-US umbrella agreement. #CPDP2017”
Ein Funke Wahrheit liegt in seiner Aussage, denn das Privacy Shield steht kurz vor seiner ersten jährlichen Überprüfung. Es bleibt daher abzuwarten, ob und wie die EU Kommission handeln wird. Ob das Privacy Shield jedoch sofort auf Eis gelegt wird, ist fraglich und wird sich erst in den nächsten Tagen, Wochen und Monaten zeigen. Wenn es so weitergeht, würden wir uns nicht wundern, wenn die Zukunft des Privacy Shield recht kurz ist. Was meinen Sie?
Das jemand in nur einer Woche so ein Chaos anrichten kann ist bemerkenswert! Eine interessante Sichtweise wird hier auf gezeigt, die sicherlich nich von ungefähr kommt. Gerade Unternehmen, die viel mit den USA zusammenarbeiten (Mutter, Dienstleister etc.), werden sich fragen müssen, ob man sich darauf überhaupt noch verlassen kann. Bereits durch die anhängigen Verfahren vor dem EuGH ist ja bereits klar geworden, dass das PS nicht unbedingt das Gelbe vom Ei ist. Vielen Dank, dass Sie sich des Themas annehmen. Insbesondere Ihre internationalen Artikel sind toll und lassen einen über den Tellerrand schauen. Danke!
Wie immer, sehr informativ :-) Aber es heißt „Gratwanderung“ ;-)
Vielen Dank für den Hinweis. Wurde geändert.