DER EU-US PRIVACY SHIELD - JKU ePUB
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Eingereicht von
Erhard Einsiedler
Angefertigt am
Institut für Europarecht
Beurteiler / Beurteilerin
Univ.-Prof. Franz
Leidenmühler
Februar 2021
DER EU-US PRIVACY
SHIELD
Diplomarbeit
zur Erlangung des akademischen Grades
Magister der Rechtswissenschaften
im Diplomstudium der
Rechtswissenschaften
JOHANNES KEPLER
UNIVERSITÄT LINZ
Altenberger Straße 69
4040 Linz, Österreich
jku.atEIDESSTATTLICHE ERKLÄRUNG
Ich erkläre an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne fremde
Hilfe verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt bzw. die
wörtlich oder sinngemäß entnommenen Stellen als solche kenntlich gemacht habe.
Die vorliegende Diplomarbeit ist mit dem elektronisch übermittelten Textdokument identisch.
Rüstorf, 11.10.20
Unterschrift
2Inhaltsverzeichnis
1. Einleitung .............................................................................................................................. 5
1.1. Problemstellung............................................................................................................. 5
1.2. Datenschutz .................................................................................................................. 5
1.3. Überwachungskapitalismus ........................................................................................... 6
1.3.1. Facebook ........................................................................................................... 7
1.3.2. Wahlmanipulierung durch Camdridge Analytica ................................................. 8
1.3.3. Patientendatenweitergabe bei Google ................................................................ 9
1.3.1. Faschismus ........................................................................................................ 9
1.4. Diagramm – Übersicht ................................................................................................. 11
1.5. Unterscheidung DSGVO / Safe Harbor / Privacy Shield .............................................. 13
1.6. Cloud Act..................................................................................................................... 13
2. Safe Harbor ........................................................................................................................ 14
2.1. Geschichte .................................................................................................................. 14
2.1.1. Datenschutzrichtlinie 95/46/EG......................................................................... 14
2.1.1.1. Artikel 1 .............................................................................................. 14
2.2. Globale Spionage- und Überwachungsaffäre .............................................................. 15
2.3. Ungültigerklärung durch EuGH .................................................................................... 15
2.4. Post Safe Harbor – Datenübermittlungen in Drittländer und ihre Rechtsgrundlagen .... 15
3. EU-US Privacy Shield (Datenschutzschild) ......................................................................... 16
3.1. Einführung ................................................................................................................... 16
3.2. Inhalt – Kurzfassung .................................................................................................... 17
3.3. Die Rolle der Datenschutz-Grundverordnung .............................................................. 19
3.4. PPD-28........................................................................................................................ 19
3.4.1. Ombudsperson ................................................................................................. 20
3.4.2. Rechtsbehelfe .................................................................................................. 21
3.4.3. Strafverfolgung ................................................................................................. 22
3.5. Rechtliche Anforderungen an den Datentransfer in die USA ....................................... 23
33.5.1. Europäische Datenschutzgrundlinie.................................................................. 23
3.5.1.1. Regeln für US-Unternehmen .............................................................. 23
3.6. Entschließung des Europäischen Parlaments zur Angemessenheit des vom EU‐US‐
Datenschutzschild gebotenen Schutzes ...................................................................... 25
3.6.1. Schlussfolgerung .............................................................................................. 25
3.6.2. Ungültigerklärung des Gerichtshofs über den Beschluss 2016/1250 über die
Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes...... 26
4. Zusammenfassung ............................................................................................................. 28
5. Zukunftsaussicht ................................................................................................................. 29
41. Einleitung
In den letzten Jahren ist es vermehrt zu einer medialen Fokussierung der Problematik der
Datennutzung durch Internetkonzerne gekommen. Beispielhaft ist die Situation in der nicht-
europäische Unternehmen Daten von Europäern speichern und verarbeiten - wichtig sind die
unterschiedlichen Rechtsgrundlagen zur Verarbeitung der Daten der entsprechenden Staaten.
Folglich kann man sagen es geht allgemein um die Datenübermittlung in Drittländer.
Im Mai 2018 wurde das Datenschutzrecht in der gesamten Europäischen Union durch die
Datenschutzgrundverordnung1 normalisiert. Die Regelgung für den Datentransfer in Drittstaaten
muss seither beachtet werden. Hohe Bußgeldzahlungen2 bei Nichteinhaltung der Regeln soll
Datenmissbrauch verhindern.
Ziel meiner Diplomarbeit ist die Durchleuchtung der Mechanismen des EU-US-Privacy Shields3
und die Erklärung des Grunds für seine Aufhebung4 durch den EuGH sowie die
Veranschaulichung der Wechselwirkung des Abkommens mit der
Datenschutzgrundverordnung. Des Weiteren möchte ich das zugehörige Thema des
sogenannten Überwachungskapitalismus bearbeiten, der von Prof. Soshana Zuboff 2015
geprägt wurde.
1.1. Problemstellung
Das Grundbedürfnis eines Staates ist der Schutz seiner Bürger. Seit den Anschlägen in den
Vereinigten Staaten, des 11. Septembers 2001 kam es zu drastisch verschärften
Überwachungsmaßnahmen, die auch auf die Europäische Union Folgewirkung hatten. Diese
wurden begründet durch die Terrorismusbekämpfung. Hauptaspekt dieser Maßnahmen ist
allerdings die Legitimierung von Massenüberwachung. Dies bringt vielfach Kritik mit sich,
insbesondere der Datenschützer.
1.2. Datenschutz
"Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende
beides verlieren." - Benjamin Franklin
1
Vgl VO (EU) 2016/679 - Des Europäischen Parlaments und des Rates vom 27. April 2016.
2
Vgl VO (EU) 2016/679 - Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen.
3
Vgl Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes [C/2016/4176].
4
Vgl EuGH 6.10.15 Rs C-362/14 (Data Protection Commissioner / Maximillian Schrems).
5Der Schutz personenbezogener Daten vor Missbrauch ist das Recht, dass alle Menschen immer
und überall selbst darüber entscheiden können, wem wann welche seiner persönlichen Daten
zugänglich sein sollen.5 Von Bedutung ist, dass die Ungleichheit der Macht zwischen
Organisationen und Einzelpersonen unter gebene Verhältnisse gestellt werden kann, dies ist der
Datenschutzrechtskern. Datenschutz verfolgt den Sinn der Gegenwirkung zu der in der immer
mehr digitalen und vernetzten Informationsgesellschaft bestehenden Tendenz zum
sogenannten gläsernen Menschen und einem Ausufern staatlicher
Überwachungsmaßnahmen resp. der Entwicklung eines Überwachungsstaates und der
Entstehung von Datenmonopolen. Die Einführung von Datenschutz ist ein logischer Schritt –
vergleichbar mit der Einführung des Konsumentenschutzes.
1.3. Überwachungskapitalismus
Shoshana Zuboff beschreibt in ihrem Buch "Das Zeitalter des Überwachungskapitalismus" die
systemimmanente Folgewirkung des Überwachungsverhaltens amerikanischer
Technologiekonzerne. Für den Datenschutz bedeutet dies wiederum, dass er sehr schwierig
wird. Der Begriff Überwachungskapitalismus entspringt dem Wirtschaftsverhalten in Bezug auf
die Verwendung von persönlichen Daten der fünf großen Technikkonzernen: Google, Microsoft,
Apple, Amazon und Facebook. Diese amerikanischen Unternehmen sind ein wesentlicher Faktor
wenn es um den Transfer von persönlichen Daten von Europäern geht.6
Kernelement des Systems ist der Verkauf der eigenen Emotionen. Neue Technologien
werden mit dem Zweck geschaffen und eingesetzt, um Vergnügen im Gehirn auszulösen, für
welches es immer unabhängig ist, ob dies durch Likes in Sozialen Medien oder durch illegale
Drogen wie Kokain verursacht wird. Die technische Era wird von Unternehmen bestimmt, die
der Tabak- und Casino-Industrie folgend süchtigmachendes Verhalten im Namen der Profite
fördern und somit das öffentliche Vertrauen mit amoralischen und unmoralischen
Geschäftsmodellen missbrauchen. Vor zwanzig Jahren war der durchschnittliche Amerikaner ca.
9,4 Stunden pro Woche online. Heute sind es Schätzungen nach 30 Stunden. In Zukunft unter
Berücksichtigung neuer Technologien wie Virtual Reality oder Internet of Things (IoT) sollen es
ca. 75% der Wachzeit sein, die in virtuellen und somit verhaltensmanipulierenden Räumen
verbracht werden. Der kontroverse Havard-Verhaltenspsychologe B.F. Skinner glaubte, dass die
von jedem gehütete Freiheit in Wirklichkeit eine Illusion ist und jeder von einem subtilen und
5
Vgl VO (EU) 2016/679 Abs. 2
6
Vgl Shoshana Zuboff: Das Zeitalter des Überwachungskapitalismus, 2018.
6komplexen Belohnungs- und Bestrafungssystem gesteuert wird. Er folgte daraus, dass eine
„Technologie des Verhaltens" genutzt werden könnte um die Menschheit zu verbessern - in
Wirklichkeit hat er einen Prozess „operanter Konditionierung" des Verhaltens des Subjekts
entwickelt, von dem beispielsweise Casinos seit jeher profitieren. Heutzutage ist es für die
führenden Technologieplattformen, die Zugang zu jedem haben, der ein Smartphone besitzt,
irrsinnig kostengünstig, Menschen in Roboter zu verwandeln - anstatt diese in Casinos zu locken
oder an Zigaretten zu binden, reicht ein Rückgriff auf die notwendige Verhaltenswissenschaft bei
der Gestaltung ihrer Produkte und Dienstleistungen für Sucht aus.7
Allgemein lässt sich nach Marx sagen, dass die symbolische Bedeutung von Überwachung eine
bewusste Störung von sozialer Gleichheit ist.8
Die Verwendung der persönlichen Daten durch Unternehmen wie Google, Facebook, Instagram,
WhatsApp oder LinkedIn stellt für sich genommen kein rechtliches Problem dar, da die Benutzer
sowieso immer den Allgemeinen Geschäftsbestimmungen vor der Nutzung zustimmen müssen –
ihr Handeln ist also immer rechtlich legitimiert. Es ist eine philosophische Frage, die jeden von
uns betrifft, dass uns der Überwachungskapitalismus als demokratische Gesellschaft prägt und
diese in eine digitale Plutokratie bzw. Geldherrschaft transformiert, in dem er die Politik kaufbar
macht, aber gleichzeitig durch die Spezialisierung von bspw. Verkaufskanälen technische
Innovationen, Kunst und Nachhaltigkeit fördert. Nichtsdestotrotz ist es insbesondere im IT Bereich
für die Datenweitergabe notwendig, dass Abkommen die Datenschutz auf internationaler Ebene
erst ermöglichen umgesetzt werden.
1.3.1. Facebook
Facebook ist ein Soziales Netzwerk, das im Internet kostenfrei für Registrationen offen steht.
Im Laufe der Jahre wurden ihm der Messengerdienst WhatsApp und die Internetplattform
Instagram zuteil. Die Funktionsweise von Facebook, dessen globale Nutzerkapazität 2,5 Mrd.
jährlich umfasst ist einfach beschrieben: Jeder, der angemeldet ist, kann sich mit seinen
Kontakten vernetzen, Nachrichten austauschen und auf sogenannten Postings im Nachrichten-
Feed „Likes" setzen und Fotos uploaden. Mittlerweile gibt es auch verschiedene Like-Typen:
1. Like (Standard)
7
Vgl William H Davidow / Michael S. Malone (Project Syndicate – Byond The Techlash): Dopamine Capitalism.
8
Vgl David Lyon: Surveillance as Social Sorting: Privacy, Risk, and Digital Discrimination.
72. Angry
3. Love
4. Care
5. Haha
6. Wow
7. Sad
8. Angry
Die Problematik im System ist die Auswertung eines Persönlichkeitsabdrucks, den seine
Nutzer im System hinterlassen, der wiederum gehandelt wird und an Werbekunden verkauft wird
und somit quasi eine emotionale Rekursivität für den Käufer erzeugt.
Die Schwierigkeit und gleichzeitig das Verführerische für die Erfinder hinter dem System ist ‚der
Blick in die Zukunft' - dies ist nur mittels Künstlicher Intelligenz möglich. Seit Beginn der
Verfügbarkeit des Kommunikationsangebots Sozialer Medien wird jedes Bit an persönlichen
Daten gespeichert (außer die Daten werden auf individuellen Antrag gelöscht - siehe Art 17
DSGVO Recht auf Löschung9) und verwertet, was eine solide Basis für eine Prognose der
zukünftigen Handlungen jedes Benutzers darstellt.
Da es sich beim System um ein amerikanisches Produkt handelt, ist von wesentlicher Bedeutung
im Zusammenhang mit Abkommen wie dem Datenschutzschild, dass die amerikanischen
Behörden Zugriff auf die globalen (europäischen) Kommunikationsdaten bekommen, was wiederum
für die große Kritik der Datenschützer wie Max Schrems10 sorgt.
1.3.2. Wahlmanipulierung durch Camdridge Analytica
Cambridge Analytica wurde 2014 als Datenanalyse-Unternehmen von der SCL-Group gegründet
und ging 2018 in Insolvenz. Der Hauptsitz war in New York City – das Hauptziel war die
Datensammlung im großem Stil über potentielle Wähler und die Beeinflussung des Wahlverhaltens
durch individuell zugeschnittene Botschaften (Mikrotargeting). Der Whistleblower Christopher Wylie
machte 2018 bekannt, dass CA seine Aktivitäten über Daten betrieb, die die Muttergesellschaft
SCL 2014 von einem Unternehmen namens Global Science Research (GSR) erwarb. GSR
sammelte die Daten (Nutzerprofile: Likes, etc) über ein Facebook-Plugin, dem die Nutzer der
angeblich zu wissenschaftlichen Zwecken zustimmten. Kogan erlangte mit 320.000 dieser Tests
im Schnitt jeweils etwa 160 weitere Datensätze von Facebookprofilen, deren Inhaber davon keine
8Kenntnis hatten. Insgesamt waren 50 Millionen Datensätze das Ergebnis, die Wiederum die
Grundlage für die Arbeit von Cambdrige Analytica in US-Wahlkämpfen darstellte. Ebenso
betroffen sind die Unterstützer der Brexit-Kampagne in Großbritannien, die angeblich die Dienste
von CA nutzten, was allerdings dementiert wurde, als der britische Datenschutzbeauftragte eine
Untersuchung der Vorgänge einleitete.
1.3.3. Patientendatenweitergabe bei Google
Die britische Datenschutzbeauftragte Elizabeth Denham hat gefolgert, dass der britische
Nationale Gesundheitsdienst NHS gegen Datenschutzbestimmungen durch die Weitergabe von
1,6 Millionen Patienten an die Google-Tochter DeepMind verstoßen hat. Problematisch war die
Nichtinformation der Patienten über die Weitergabe. Es ist notwendig, dass sich das NHS künftig
enger an das Datenschutzrecht halten und öffentlich darlegen soll, wie es das bewerkstelligen
will. Eine weitere Vereinbarung über die Weitergabe der Daten hatte der NHS im Mai 2016 mit
DeepMind geschlossen. Ein Einwand dagegen bestand nicht, soweit solche Daten für
Forschungszwecke verwendet werden. Aber die Privatsphäre dürfe nicht zu Gunsten der
Innovation geopfert werden. Hier mangelt es jedoch nur an Transparenz.9
Eine Einbringung von technischem Know-How in den Gesundheitssektor durch die Big Five
(Amazon, Apple, Facebook, Google, Microsoft) birgt die Gefahr, dass hier sensible
Gesundheitsdaten abgeschöpft werden und private Konzerne in Form einer algorithmischen
Regierungsmentalität Wissen über den Gesundheitszustand der Bürger anhäufen. Es ist eine
neoliberale Vision, sich durch das Smartphone den Arztbesuch zu sparen.10
1.3.1. Faschismus
Faschismus ist ungleich Nationalismus. Milder Nationalismus ist eine günstige menschliche
Schöpfung. Nationen fassen Millionen von Menschen zusammen, die einander nicht kennen. Ohne
den Nationalismus würden wir in Stammeswirren leben. Wenn man die reichsten und friedlichsten
Länder der Welt mit den ärmsten und gewalttätigsten Ländern der Welt vergleicht, erkennt man,
dass letztere keinen starken Nationalismus haben.
9
Vgl Alexander Armbruster: FAZ, 4.7.14: „So soll Google keine Patientendaten mehr bekommen"
10
Vgl Adrian Lobe: Atlas der Globalisierung: Welt in Bewegung: Der Kampf der Techgiganten: Le Monde diplomatique, S79.
9Nationalismus verpflichtet gegenüber einer einzigartigen Nation der man angehört. Dagegen ist der
Faschismus die Spiegelgung des Bewusstseins, dass meine Nation die höchste ist und die einzige
Verpflichtung das Kümmern um die eigene Nation ist, alle anderen Nationen sind egal.
Patriotismus ist die Loyalität gegenüber Familie, Nachbarschaft, Beruf und Menschen allgemein,
der Wahrheit und der Schönheit. Sobald man sich verschiedene Loayalitäten und Identitäten
zueignet, entstehen Konflikte und Komplikationen.
Faschismus ist die Folgewirkung der Ignorierung von Konflikten und Komplikationen – Leute
machen sich das Leben einfach. Im Faschismus wird jeder verleugnet und darauf bestanden, nur
einem Staat verpflichtet zu sein. Wird vom Staat gefordert, die eigene Familie zu opfern, wird die
eigene Familie geopfert. Wird ein Massenmord gefordert, wird dieser exekutiert. Wird gefordert,
Wahrheit und Schönheit zu verraten, wird dies umgesetzt. Ein Faschist entscheidet, dass Kindern
in Schulen nur das gelehrt wird, was den Interessen der Nation entspricht.
Legt man diese Tatsachen auf den Sachverhalt des Überwachungskapitalismus um, könnte man
zur Schlussfolgerung kommen, dass das Wirtschaftsgebaren von Facebook-Chef Mark Zuckerberg
eine Form von digitalem Faschismus darstellt: das Herunterspielen von Kritik über Hasspostings11
oder über Facebook koordinierten Genozid in Myanmar12.
Dieses Denken bewirkte nichts anderes als die Schrecken des Zweiten Weltkrieges. Das Problem
ist, spricht man über die Fehler des Faschismus, muss man auch darlegen können, warum er so
reizvoll ist. Im Christentum wird im Gegensatz zu Hollywood Satan als Schönheit dargestellt.
Deshalb ist es schwierig, den Versuchungen Satans nicht zu erliegen. Deshalb ist es nicht leicht,
den Reizen des Faschismus zu wiederstehen.
Faschismus lässt seine Anhänger im Glauben, die eigene Nation sei die wichtigste Sache der
Welt. Es wird der Annahme gefolgt, dass Faschismus etwas abstoßendes ist, aber wenn man sich
in den Spiegel schaut, sieht man nur etwas schönes. Das ist falsch. Bei jedem Blick in den Spiegel
des Faschismus, wirft er ihm ein schöneres Spiegelbild zurück als der Wirklichkeit entspricht.
Es ist sehr wahrscheinlich, dass Faschismus und Diktaturen über die technische Realität des 21.
Jahrhunders wiederkehren. Früher war Grund das Wertvollste der Welt – die Politik kämpfte um
11
Vgl Kampagne ‘Stop Hate for Profit’ (www.stophateforprofit.org).
12
Vgl Matthew Smith: How Facebook Is Failing Myanmar Again, 18.8.20, Time.
10die Landkontrolle. Diktatur wiederum bedeutete, die Machthabe eines Menschen über des gesamte
Land. Dann wurden technische Arbeitsgeräte wichtiger als Grund, und es wurde um die Kontrolle
über die Maschinen gekämpft. Gewaltherrschaft bedeutete, dass zu viele Maschinen in den
Händen der Regierung oder einer kleinen Elite konzentriert wurden. Heute werden die Maschinen
und das Land durch Daten als das wichtigste Vermögen ersetzt. Politik kämpft um die Kontrolle
des Datenflusses. Diktatur heißt demnach heute immer, dass eine winzige Elite die Macht über die
Daten hat. Und genau dies ist der Fall, wenn man ins Kalkühl zieht, dass ein einzelner
amerikanischer Konzern 32% der globalen Kommunikation (2,47 Mrd. Facebook-WhatsApp-
Instagram-Nutzer) kontrolliert.
Die Tatsache, dass die Revolution der Informationstechnologie Diktaturen effizienter macht als
Demokratien, stellt eine große Gefahr dar.13
1.4. Diagramm – Übersicht
Im folgenden Diagramm werden die Abkommen und ihre Relationen zueinander, die EuGH-
Entscheidungen die sie zu Fall gebracht haben und das Spionageprogramm sowie der
Zusammenhang zwischen den DSGVO-Entitäten Data Controllern und Data Processorn dargestellt.
13
Vgl Yuval Noah Harari: Why fascism is so tempting – and how your data could power it, TED2018.
11Legende:
• Facebook: Soziales Netzwerk
• DSVGO: europäische Datenschutzgrundverordnung
• Cloud Act: amerikanisches Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im
Internet
• MLAT: Mutual legal assistance treaty - Abkommen zwischen Staaten zum Datenaustausch
zur Verbrechensbekämpfung
• Safe Harbor: Beschluss der Europäischen Kommission zur Übermittlung von Daten an die
USA
• Privacy Shield: informelle Absprache zur Übermittlung von Daten an die USA
• FISA: amerikanisches Gesetz zur Regelung der Auslandsaufklärung und Spionageabwehr
• PPD28: Bestimmung über Mechanismen für nachrichtendienstliche Tätigkeiten
• PRISM: Überwachungsprogramm amerikanischer Geheimdienste an an dem Unternehmen
wie Facebook teilnehmen
• Schrems I: case C-362/14
• Schrems II: case C-311/18
121.5. Unterscheidung DSGVO / Safe Harbor / Privacy Shield
Gemäß der DSGVO14 wird zwischen Data Controllern15 (gibt die Datenspeicherung und -
Verarbeitung in Auftrag) und Data Processors16 (nimmt Datenspeicherung und -Verarbeitung
unter Beaufsichtigung des Controllers wahr) unterschieden. Data Controller (Amerikanische
Betriebe wie z.B. Facebook), dürfen Daten immer verarbeiten, solange sie die Regeln der GDPR
einhalten. Safe Harbor17 (seit 2015 nicht mehr gültig nach Urteil des EuGH, s. Kapitel II.C) und
Privacy Shield18 beziehen sich lediglich auf amerikanische Data Processors und ersetzen ein
aufwändiges Vertragswerk zwischen Data Controller und Processor, das ansonsten die
Standards der GDPR garantieren müsste. Privacy Shield wird z.B. angewandt wenn es um die
Speicherung von Daten auf Clouds (AWS [Amazon], Azure [Microsoft], Google Cloud) geht,
die auch von vielen Europäischen Betrieben genutzt werden. Was dort mit den Daten passiert
wird weiterhin von den Betrieben, die die Speicherung und/oder Verarbeitung in Auftrag geben
bestimmt und nicht vom verarbeitenden Betrieb.
1.6. Cloud Act
Im März 2018 wurde das US-amerikanische Gesetz CLOUD Act (Clarifying Lawful Overseas Use
of Data Act) zum Internetdaten-Zugriff durch die US-Behörden unterzeichnet. Zuvor musste sich
das FBI & Co auf den Stored Communications Act (SCA) von 1986, als es noch keine IT-Cloud
gab, berufen. Der CLOUD Act verpflichtet amerikanische Internet-Firmen und IT-Dienstleister,
US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung
nicht in den USA erfolgt. Die US-Regierung hat darüber hinaus das Recht, Daten von
europäischen Servern an andere US-Unternehmen weiterzugeben.
Eine Beantwortung der Frage ob sich DSGVO und CLOUD Act vertragen lässt sich schwer
beantworten. Eine Regelung eines Herausgabeverlangens von Behörden und anderen
staatlichen Stellen eines Drittlandes erfolgt im DSGVO Art 4819. Es können solche Daten nur
dann herausgeben werden, wenn ein Rechtshilfeabkommen in Strafsachen (Mutual Legal
Assistance Treaty - MLAT) oder andernfalls ein ähnliches Abkommen zwischen EU/MS und
einem Drittland besteht.
14
Vgl DSGVO.
15
Vgl Art 4 (7) DSGVO.
16
Vgl Art 4 (8) DSGVO.
17
Vgl Entscheidung 2000/520/EG der Kommission vom 26.7.00.
18
Vgl Entscheidung 2016/1250 der Kommission vom 12.7.16.
19
Vgl Art 48 DSGVO.
13Eine Anwendung erfolgt weit über das US-Territorium: FISA war ursprünglich zur Überwachung
ausländischer Geheimdienste vorgesehen. Eine Erweiterung der Bestimmungen erfolgte durch
den Patriot Act, einem Änderungsgesetz zur Terrorismusbekämpfung. Sec 215 Patriot
Act ändert § 1861 FISA dahingehend, dass für den Antrag auf Zugang von US-Behörden zu
Geschäftsunterlagen aller Art ("any tangible things") allein der Verdacht der Verbindung zu
Terrorismus und Spionage ausreicht.20
2. Safe Harbor
2.1. Geschichte
2.1.1. Datenschutzrichtlinie 95/46/EG21
Mithilfe dieser Richtlinie wurde verboten, persönliche Daten aus EU-Mitgliedsstaaten in Dritt-
Staaten zu übertragen, dessen Datenschutzniveau mit der EU unkompatibel ist.
In den USA gibt es keine mit den EU-Standards vergleichbaren gesetzlichen Reglungen.
Das zwischen 1998 und 2000 entwickelte Safe Harbor-Verfahren22 ermöglichte es den US-
Unternehmen bei Verpflichtung zur Befolgung der Safe Harbor Principles sich auf einer Liste
des US-Handelsministeriums eintragen zu lassen. Im Juli 2000 hat die Europäische
Kommission in der Safe-Harbor-Entscheidung anerkannt, dass für alle beigetretenenen
Unternehmen genügend Schutz für die persönlichen Daten von EU-Bürgern besteht.
Bekannte beigetretene Unternehmen sind u.a. Google, Facebook, Microsoft, Amazon.com
und IBM.
2.1.1.1. Artikel 123
In Artikel 1 der Datenschutz-Richtlinie wird bestimmt, dass die Mitgliedsstaaten die Einhaltung
der Grundrechte und Grundfreiheiten und den Schutz der Privatsphäre natürlicher Personen bei
der Verarbeitung persönlicher Daten zusichern. Es kommt zu keiner Beschränkung des freien
Transfers persönlicher Daten durch die Mitgliedsstaaten.
20
Vgl Axel Anderl, Nino Tlapak in Datenschutz Konkret (MANZ) vom 4.15: Cloud-Computing im Anwendungsbereich von Patriot Act, FISA und Freedom Act.
21
Vgl RL 95/46/EG vom 24.10.95.
22
Vgl Entscheidung 2000/520/EG der Kommission vom 26.7.00 über die Angemessenheit des von den Grundsätzen des sicheren Hafens.
23
Vgl Art 1 RL 95/46/EG vom 24.10.95.
142.2. Globale Spionage- und Überwachungsaffäre
Edward Snowden enthüllte 2013 als ehemaliger Geheimdienstmitarbeiter, wie
die USA und das Vereinigte Königreich seit 2007 Massenüberwachung betrieben. Besonders
auffällig ist das als Top Secret eingestufte Programm „PRISM" (Planning tool for Resource
Integration, Synchronization, and Management), bei dem ebenfalls die neun größten
Internetkonzerne und Dienste der USA beteiligt sind, u.a. Microsoft, Google, Facebook, Apple.
Diese Tatsache führt zu einer einfachen und versteckten Widersprüchlichkeit von Abkommen wie
Safe Harbor und geheimdienstlichen Agenden und lässt ihr Entstehen von Grund auf infrage
gestellt.24
2.3. Ungültigerklärung durch EuGH
Die Entscheidung der Kommission über die Gewährleistung eines angemessenen
Datenschutzniveaus übermittelter personenbezogener Daten wird vom EuGH im September
2015 für ungültig erklärt. Yves Bot (Generalanwalt des EuGH) befand in den Schlussanträgen
zur Rechtssache C-362/14 die Kommissions-Entscheidung zu Safe-Harbor für unbindend und für
nicht gültig. Der irische High Court befragte den Europäischen Gerichtshof, ob eine
Beschwerdeprüfung der irischen Datenschutzbehörde, dass durch ein Drittland ein
unzureichendes Schutzniveau gewährleistet und folglich die Datenübermittlung ausgesetzt wird,
durch die Safe Harbor-Entscheidung gehindert wird. Durch die Beschwerde sollte der
Datentransfer durch Facebook an die Vereinigten Staaten unterbunden werden. Es wurde
festgestellt, dass eine Beschränkung der Befugnisse der nationalen Kontrollbehörden durch die
Kommission nicht möglich ist. Die Mitgliedsstaaten sind verpflichtet, Maßnahmen gegen
Grundrechtseingriffe wie beispielsweise in das Recht auf den Schutz personenbezogener Daten
zu setzen.25
2.4. Post Safe Harbor – Datenübermittlungen in
Drittländer und ihre Rechtsgrundlagen 26
Seit der Aufhebung der beiden Datentransfermechanismen durch den EuGH wurden
Auswirkungen auf die globale Datenübermittlung von personenbezogener Daten an Drittländer
sichtbar. Voraussetzung für die Zusammenarbeit zur Strafverfolgung sowie in nationalen
Sicherheitsangelegenheiten zwischen der EU und Drittländern und zudem von wesentlicher
24
Vgl Glenn Greenwald and Ewen MacAskill in The Guardian „NSA Prism program taps in to user data of Apple, Google and others“, 7.6.2013.
25
Vgl EuGH 6.10.15 Rs C-362/14 (Data Protection Commissioner / Maximillian Schrems).
26
Diplomarbeit von Werner Piribauer, April 2019.
15Bedeutung für das gemeinsame Ziel der Prävention und Bekämpfung von schwerer Kriminalität
und Terrorismus ist diese Datenübermittlung. Die Europäische Kommission schätzt, dass bis zum
Jahr 2020 der Wert von personenbezogenen Daten von Unionsbürgern beinahe € 1 Billionen
EUR betragen wird und dabei beinahe acht Prozent des Bruttoinlandsproduktes der EU
ausmachen könnte.27
3. EU-US Privacy Shield (Datenschutzschild)
Beim Datenschutzschild handelt es sich nicht um eine internationale Vereinbarung zwischen der
Europäischen Union und den Vereinigten Staaten wie es öffentlich wiedergegeben wird. Es
mangelt an rechtlicher Qualität und Bindungswirkung eines Abkommens. Jedenfalls ist es aber
mehr Fragment des Durchführungsbeschlusses der Kommission und gehört grundsätzlich zur
Kategorie der Angemessenheitsentscheidungen iSd RL 95/46/EG im Kontext des Transfers
persönlicher Daten in Drittländer. Die Kommission bezeichnet den Datenschutzschild als
„besonderen Fall, in dem in Ermangelung allgemeiner Datenschutzgesetze in den USA die
Verpflichtung der teilnehmenden Unternehmen besteht, die in dieser Vereinbarung festgelegten
hohen Datenschutzstandards anzuwenden, die wiederum nach US-amerikanischem Recht
durchsetzbar sind zu den spezifischen Zusicherungen und Zusicherungen der US-Regierung in
Bezug auf den Zugang zu nationalen Sicherheitszwecken [inkl. PPD-28], die die
Angemessenheitsfeststellung untermauern“.28
3.1. Einführung
Wie viele Suchanfragen von Überwachungsbehörden haben die am Datenschutzschild
teilnehmenden Unternehmen erhalten?29
Die vom Datenschutzschild zertifizierten Unternehmen veröffentlichten Transparenzberichte
enthalten Zahlen über die Anfragen zur Freigabe von Kommunikationsdaten gestützt auf das
FISA (Zeitraum: Januar bis Juni 2016):
Microsoft: 0 bis 499 Anfragen, die zwischen 12000 und 12499 Nutzerkonten betrafen.
Facebook: 500 bis 999 Anfragen, die zwischen 13000 und 13499 Nutzerkonten betrafen.
27
Vgl Euroean Commission (2016) ‚The EU Data Protection Reform and Big Data Factsheet‘.
28
Vgl Ludmila Georgieva, ‚EU-US-Privacy Shield – eine Gesamtbetrachtung‘, Jahrbuch Öffentliches Recht 2017, 193.
29
Vgl IP/17/3966 Kommission, Erste jährliche Überprüfung der Funktionsweise des EU-US- Datenschutzschilds vom 18.10.17.
16 Google: 500 bis 999 Anfragen zu zwischen 25000 und 25499 Nutzerkonten.
Das Verhältnis der behördlichen Datenzugriffen zur Gesamtzahl der Nutzerkonten ist gering (bei
Facebook 2 Mrd. aktive Nutzerkonten : 13000 abgefragte Nutzerkonten [0,65 %.] ).
Nach Aufhebung von Safe Harbor durch die Kommission nahmen die USA erneut die
Verhandlungen mit der Kommission über ein Nachfolgeabkommen (dem EU-US Privacy Shield)
auf. Diese Verhandlungen waren allerdings wackelig.
Die Unternehmen müssen bei der Anwendung der DSGVO viel Mut zum Risiko aufwenden, da
sich trotz zahlreicher Leitlinien von Aufsichtsbehörden und fundierter Kommentarliteratur viele
offene Rechtsfragen und in der Praxis nicht umsetzbare Vorgaben immer wieder ergeben.30
Die Gefahr nach Aufhebung von Safe Harbor war, dass die internationale Datenübermittlung in
die USA nun ohne Rechtsgrundlage verlief. Eine Übergangszeit für die betroffenen Unternehmen
wurde seitens der EU geschaffen, in der die Saktionen für rechtsgrundlose Datenübermittlungen
ausgesetzt wurden.31
3.2. Inhalt – Kurzfassung32
Der Privacy Shield behält das zivilrechtliche Selbstzertifizierungssystem mit privater
Durchsetzung der Kernprinzipien bei und ist die Fortführung der Safe-Harbor-Regelung mit
einigen Verbesserungen wie der Einrichtung der Ombudsperson und der jährlichen Überprüfung.
Die Kommission bewirbt den Datenschutzschild mit folgenden vier Elementen:
1. Datenverarbeitende Unternehmen unterliegen strengeren Auflagen: Alle zugehörigen
Firmen werden durch das US-DoC zur Gewährleistung der Einhaltung der Regeln und
zur Saktion und Listen-Löschung im Falle einer Nicht-Einhaltung geprüft. Es besteht eine
Garantie des Schutzniveaus im Falle einer Datenweitergabedurch ein am
Datenschutzschild beteiligtes Unternehmen.
2. Es bestehen klare Schutzvorkehrungen und Transparenzpflichten beim US-behördlichen
Datenzugriff:
30
Vgl Schröder, Stopersteine der DSGVO für multinationale Unternehmen, DuD 12/2018, Z. 3.2.
31
Vgl Christiane Schulzi-Haddout: EU-Datenschützer setzen Ultimatum für Safe Harbor 2.0., heise online. 17.10.15.
32
Vgl zB die Darstellung des Inhaltes in European Parliament/EPRS (2017) PE 595.892, 20 - 31.
17a. Die Genehmigung behördlicher Datenzugriffe aufgrund der Rechtsdurchsetzung
oder der staatlichen Protektion unter Einhaltung klarer Beschränkungen,
Schutzvorkehrungen und Aufsichtsmechanismen wird von den USA zugesichert.
b. Heute haben zum ersten Mal alle in der EU Zugang zu Rechtsschutzmechanismen
in diesem Bereich.
c. Es erfolgt die Einrichtung einer Ombudsstelle im Außenministerium zur
Behandlung von Rechtsschutzbegehren von EU-Bürgern und -Bürgerinnen im
Bereich der nationalen Sicherheit.
d. Transparenzberichte der Unternehmen;
e. Die amerikanischen Behörden sichern die Nichtexekution unterschiedsloser
Großraumüberwachung der im Rahmen des Privacy Shields in die Vereinigten
Staaten transferierten persönlichen Daten und die Klärung der Wahrscheinlichkeit
der Sammeldatenerhebung unter bestimmten Präpositionen und einer genauen
Präzisierung der Protektionsmaßnahmen für die Datenverwendung unter diesen
Umständen.
3. Es besteht ein Schutz der Rechte des Einzelnen über mehrere (kostengünstige) Optionen
der Streitbeilegung für EU-Bürger und -Brügerinnen bei Verdacht auf Missbrauch der
Daten:
a. Die unternehmsinterne Beschwerdebehandlung
b. ein konstenfreies Verfahren der alternativen Streitbeiligung
c. die Beschwerdeeinbringung bei der nationalen DSB
d. die Weiterleitung an die FTC
e. ein Schiedsverfahren (ultima ratio)
f. eine von den US-Nachrichtendiensten unabhängige Ombudsstelle für
Rechtsschutzbegehren von EU-Bürgern im Bereich der nationalen Sicherheit.
4. Die gemeinschaftliche Jahresüberprüfung des Arbeitsmechanismus des
Datenschutzschilds als kollektives Unterfangen sowie der Beipflichtungen der
Kommission und des US-DoC bei Inklusion von Sachverständigen der US-
Nachrichtendienste und der europäischen DSB sowie der zusätzlichen Vorlage eines
öffentlichen Berichts der Kommission.
183.3. Die Rolle der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO)33 ist eine EU-VO zur Regelung der Bestimmungen
zur Prozessierung persönlicher Daten durch private wie öffentliche Datenverarbeiter.
Die Europäische Union möchte die Protektion personenbezogener Daten sicherstellen, als auch
den offenen Datenverkehr innert des Europäischen Binnenmarktes absichern.
Ohne den EU-US Privacy Shield wäre es für amerikanische Unternehmen rechtlich nicht möglich,
die personenbezogenen Daten ihrer europäischen Kunden gemäß den
Datenschutzanforderungen der DSGVO zu verarbeiten.
3.4. PPD-28
Die PPD-28 (Presidential Policy Directive 28) bestimmt Mechanismen für
nachrichtendienstliche Tätigkeiten um die Verarbeitung personenbezogener Informationen zu
Nicht-US-Bürgern festzulegen.
Zu einer Legitimierung von Spionage durch US-
Geheimdienste mit Daten der Europäern kommt es durch
die Kommission, diese ist für die Aushandlung jener
Abkommen wie dem Datenschutzschild zuständig.
Jede Überwachungsmaßnahme benötigt eine rechtliche Grundlage, ein Gesetz, eine
Regierungsanweisung oder eine Präsidentielle Richtlinie. Laut „Office of the Director of National
Intelligence"34 (ODNI), werden sie ausschließlich für legitime Zwecke nationaler Sicherheit
eingesetzt. Es ist von Bedeutung zu wissen, dass entsprechend der Direktive 28 der Schutz
persönlicher Daten wesentlich bei der Ausführung der Digitalüberwachung (signal intelligence)
ist. Es kommt zur Untersagung von Zensur, Kritik, Diskriminierung wegen Ethnitzität,
Geschlecht, Sexualität oder Religionszugehörigkeit. In Direktive 28 wird ausgeführt, dass die
Digitalüberwachung möglichst genau sei und nur für genau definierte Ziele durchgeführt wird.
Die Selbstverpflichtung der Geheimdienste führt zur Minimierung der Vorratsdatenspeicherung
und zur vernünftigen Selektion der Weitergabe von personenbezogenen Daten. Der Datenabruf
33
Vgl EU-DSGVO – VO (EU) 2016/679 des EP und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der RL 95/46/EG.
34
Vgl The White House, Office of the Press Secretary: Presidential Policy Directive – Signals Intelligence Activities vom 17.1.14.
19von US-Firmen ist nur mit gesetzlicher Grundlage wie dem Foreign Intelligence Surveillance Act
(FISA)35 oder entsprechend den National Security Letters-Regeln möglich.
Das ODNI schreibt eine Beachtung der verfassungsrechtlichen Anforderungen, insbesondere des
4. Zusatzartikels, vor.
Vor willkürlicher Durchsuchung, Festnahme und Beschlagnahme wird die Person, die
Wohnung, Urkunden und das Eigentum geschützt. Eine Verletzung des Rechts ist untersagt.
Nur ein eidesstaatlich erhärteter Rechtsgrund ermöglicht die Ausstellung von Haussuchungs-
und Haftbefehlen. Die zu durchsuchende Örtlichkeit und die in Gewahrsam zu nehmenden
Personen oder Gegenstände müssen richtig bezeichnet werden.36
Es wird eine gezielte Überwachung einer Massenüberwachung vorgezogen. Nur vernünftige
Maßnahmen sind erlaubt - eine jeder andere technische Maßnahme ist verboten.
Massenüberwachung darf nur in sechs Fällen ausgeübt werden:
1. Abwehr von Terrorismus
2. Abwehr von Nuklearwaffenverbreitung
3. Cybersicherheit
4. Abwehr von Gefahren für die USA oder für die alliierten Streitkräfte
5. Bekämpfung grenzüberschreitender Kriminalitätsrisiken
6. Sichentziehen von Strafen
Eine Überprüfung der Einhaltung dieser „Verwendungsbeschränkungen" erfolgt durch den
Director for National Intelligence (DNI)37.
3.4.1. Ombudsperson
Ein Senior Coordinator for International Information Technology Diplomacy wird in § 4(d) PPD-
28 vorgesehen, und soll als Schnittstelle für andere Regierungen zum Austausch von Bedenken
bezüglich geheimdienstlicher Aktivitäten der Vereinigten Staaten dienen. Im Januar 2015 wurde
35
Vgl Becker/Nikolaeva, CR 2012/170, 171 mwN.
36
Vgl 4. Zusatzartikel zur Verfassung der Vereinigten Staaten (4th Amendmet), Bill of Rights.
37
Vgl 50 U.S. Code § 3023. Director of National Intelligence.
20Frau Novelli zum Senior Coordinator ernannt. Der Senior Coordinator wird zur Privacy Shield
Ombudsperson eingesetzt, gemäß dem im Annex 3 dokumentierten „EU-US Privacy Shield
Ombudsperson Mechanism regarding Signals Intelligence" (hier abgekürzt als Omb-Mech). Eine
Zusammenarbeit mit Ministerien und Geheimdiensten ist von Bedeutung. Es kommt zur
Berichterstattung gegenüber dem Außenminister, und ist aber auch von der Geheimdienst-
Community unabhängig. Es kommt zur Zusammenarbeit mit Aufsichtsinstanzen. Das ODNI
arbeitet eng mit allen Organen, Ministerien, Stellen, Inspekteuren und Beauftragten, die mit
nationaler Sicherheit in den Vereinigten Staaten befasst sind, zusammen. Eine die
Indidualbeschwerden (EU Individual Complaint Handling Body – zukünftig EU-Beschwerdestelle)
entgegennehmende, prüfende und weitergebende Stelle wird benötigt. Anschließend wird
abgeprüft, ob die Bitte auf Auskunft den Bedingungen von § 3.b des Omb-Mech gleicht. Eine
Kommunikation mit dem Beschwerdeführer erfolgt bei Bedarf über die EU-Beschwerdestelle.
Eine Bestätigung der Beschwerdeprüfung erfolgt durch die Ombudsperson der EU-
Beschwerdestelle. Es wird bestätigt, dass korrekt ermittelt wurde, dass das US-Recht und die
Begrenzungen des ODNI-Briefes (Annex 6) beachtet worden sind und dass bei Verstößen Abhilfe
geschafft wird. Es wird nicht bestätigt, dass eine Geheimdienstoperation gegen eine Person
erfolgt. Informationsanfragen können gem. § 5 Omb-Mech als Anfragen der Informationsfreiheit
entsprechend angewendeter Bestimmungen behandelt werden. Der Beschwerdeführer wird von
der EU-Beschwerdestelle ausgesucht.
3.4.2. Rechtsbehelfe
Der United States Code (USC § 55238) wurde als Freedom of Information Act (FOIA39) publiziert.
Der FOIA-Beauftragte verbreitete über das Internet die Information, unter welchen Präpositionen
Requests stattfinden dürfen. Es besteht Aussageverbot bei Geheiminformationen über die
Sicherheit der Nation, Dritt-Personeninformationen und Strafrechtsinformationen zu
Ermittlungen. Die Beschwerden bzw. Anfragen zum Informationzugang nach dem FOIA werden
vorerst innherlab der Verwaltung behandelt und kommen sodann vor ein Bundesgericht.
Ausschließlich dieses kann die Entscheidung treffen, ob Urkunden nach 5 U.S.C. § 552(a)(4)(b)
gesetzlich verheimlicht werden. In manchen Fällen, wurde von Gerichten gegen die
Regierungsklassifikation geurteilt. Gemäß § 6 Omb-Mech können Untersuchungen und Audits
vom rechtlich freien Generalinspekteur entsprechend dem Inspector General Act aus dem Jahr
1978 veranlasst werden. Ein jeder Generalinspekteur gehört zu einer Einrichtung der
38
Vgl USC, Section 552, Public information; agency rules, opinions, orders, records, and proceedings.
39
Vgl The Freedom of Information Act, 5 U.S.C. sect. 552, As Amended By Public Law No. 104-231, 110 Stat. 3048.
21Geheimdienst-Community; dieser kann gleichfalls geheimdienstliche Aktionen im Ausland
prüfen. Verpflichtend sind die Empfehlungen des Generalinspekteurs aber nicht. Beratungs- und
Informationsfunktionen betreffen Bürgerrechts- und Datenschutzbeauftragte. Zum Beispiel gibt
es einen Office of the Director of National Intelligence Civil Liberties and Privacy Officer (ODNI
CLPO). Die NSA kann ebenso einen CLPO vorweisen. Gemäß 2 U.S.C §2000ee et seq. werden
Bemühungen zum Datenschutz der Behörden vom Privacy and Civil Liberties Oversight Board
unterstützt. Der Prüfungsmechanismus des FISA (Foreign Intelligence Surveillance Acts –
Section 702) wird vom ODNI erklärt. Eine Zwangserfassung von Geheimdienstinformationen bei
Internetdiensten für Nicht-US-Bürger wird durch die Regelgung erlaubt. Die Notwendigkeit hierfür
ist eine Jahreszertifizierung über das FISA-Gericht, beantragt vom US-Justizminister (Attorney
General) und des ODNI, wobei es zur Identifkation spezifischer Kategorien kommt. Allerdings
kommt es nur zu einer gezielten Überwachung spezfischer Personen über Individualmerkmale
wie E-Mail-Adresse oder Telefonnummer. 2014 wurde ca. 90.000 Personen (verglichen zu 3 Mrd.
Nutzern des Internets ein kleiner Anteil) gemäß Section 702 a. Das FISA-Gericht ist mit seinen
unabhängigen Bundesrichtern zum Großteil verantwortlich für die Implementierung von Section
702. Die Zertifizierungen werden jährlich geprüft. Manche der Entscheidungen ist nicht geheim
und wurde entklassifiziert. Gemäß FOIA kann das FISA-Gericht einen unabhängigen Vertreter
des Datenschutzes (amicus curiae) durch einen externen Anwalt in Fällen neuer oder
bedeutender rechtlicher Fragen einsetzen. Beispiellos ist der Grad der Beteilugung von
unabhängigen Gerichten in Auslandsgeheimdienst-Fragen. Seit Juni 2015 erhöht laut ODNI der
USA FREEDOM Act die Transparenz der US-Überwachung und der nationalen
Sicherheitsbehörden. Eine Massenüberwachung bei Datenspeicherungen auch für Nicht-US-
Bürger gemäß FISA wird verboten. Eine Konkretisierung auf Person, Konto oder Adresse ist laut
Gesetz notwendig. Eine Deklassifizierung oder Veröffentlichung der FISA-
Gerichtsentscheidungen erfolgt durch den DNI nach Beratung mit dem US-Justizminister. Eine
Offenlegung der FISA-Sammlung und der Anträge könnte erfolgen. Unternehmen können die
Statistik-Zahlen von FISA-Anforderungen und Natonal Securtiy Letters aus Gründen der
Strafverfolgung nur bei Nichtentgegenstehen von US-Gesetzen in Transparenzberichten
veröffentlichen. Zum Beispiel gab es laut Report eines größeren Konzerns von 400 Mio.
Internetnutzern nicht mehr als 20.000 Betroffene von Herausgabeverlangen.
3.4.3. Strafverfolgung
22Die Datenschutz-Frage beim Unternehmensdaten-Zugriff wird von Annex 7 behandelt. Die
Anklagebehörde (Grand Jury oder Trail Subpoena) oder die Verwaltung (Administrative
Subpoena Authority) erzwingt die Herausgabe der Daten. Zudem kann die Datenherausgabe
auch über richterliche Anordnung erbracht werden.
Schutzvorkehrungen für die Betroffnen sind neben einem ausreichendem Verdacht (probable
cause) notwendig. Das Justizministerium gibt die Begrenzung der Ermittlungsmaßnahmen im
Namen des Datenschutzes und des Schutzes von Bürgerrechten über Richtlinien (guidelines and
policies) vor.
3.5. Rechtliche Anforderungen an den Datentransfer in die USA
3.5.1. Europäische Datenschutzgrundlinie
3.5.1.1. Regeln für US-Unternehmen
Verstöße, die in der Praxis auftreten sind sanktionierbar gegen die dargelegten Prinzipien und
die Rechtsschutzmöglichkeiten für die Betroffenen führen zu einer Akzeptanz des Privacy Shields
durch die EU-Kommission. Die Kommission konstatiert eben nicht, dass die Privacy-Shield-
Prinzipien mit den europäischen Datenschutzstandards gleich sind und dass in allen
wesentlichen Fällen Rechtsschutz gegeben ist. Mangelhaft ist, dass der Privacy Shield keine
verbindlichen Normierungen enthält, wie man sie in der EG-DSRL 40 und eben auch in der EU-
DSGVO41 findet, stattdessen vage Prinzipien mit breitem Auslegungsspielraum die auch von den
verarbeitenden Stellen angewendet werden. Das europäische Datenschutzniveau wird deshalb
stark unterschritten. Eine beispielhafte Darstellung ist vielfach möglich und eine
zweckgebundene Darlegung erfolgt aufgrund des Grundsatzes der Erforderlichkeit; gem. Art. 8
Abs. 2 EUGRCh42 dürfen persönliche Daten ausschließlich für fixe Maßnahmen oder auf einer
durch Gesetz leigimiterten Basis verarbeitet werden. Der europäische Standard wird allerdings
durch die Privacy-Shield-Prinzipien welche mehr eine Selbstverpflichtung als gesetzliche
Regelungen darstellen nicht erreicht. Die von der Verfassung geforderte Zwangsbindung des
Zwecks wird hierbei untergraben. In Prinzip Nr. 5 wird eine Zweckbindung für den Fall dargelegt,
dass der Verarbeitungszweck mit dem Datenherbungszweck vereinbar ist. Eine in Art. 6 EG-
DSRL43 angedeutete und im Entwurf von Art. 6 Abs. 1 EG-DSGVO44 genau bestimmte
40
Vgl EG-DSRL – RL 95/46/EG.
41
Vgl EU-DSGVO – VO (EU) 2016/679 des EP und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der RL 95/46/EG.
42
Vgl Art 8 (2) Charta der Grundrechte der Europäischen Union.
43
Vgl Art 6 EG-DSRL – RL 95/46/EG.
44
Vgl Art 6 (1) EU-DSGVO.
23Abwägungs-Klausel entsprechend dem EU-Standard, fehlt den Prinzipien. Die Einschränkung
der Verarbeitung der Daten auf die Erforderlichkeit ist ein grundlegender
Europadatenschutzstandard. Das deutsche Bundesverfassungsgericht hat diesen Grundsatz
1983 durch das deutsche Bundesverfassungsgericht begründet. Die Erforderlichkeits-
Anforderungen werden mittlerweile durch den Grundsatz der „Datenminimierung“ akkumuliert,
der als grundsätzliches Durchführungsprinzip in Art. 5 Abs. 1 lit. C EU-DSGVO vorgesehen ist.
Entsprechende Bedingungen werden prinzipiell im Privacy Shield nicht vorgesehen. Eine
Zusicherung erfolgt in Art. 8 Abs. 2 S. 2 EUGRCh. In den Privacy Shield Zusatzprinzipien kommt
es zu einer Einschränkung des Betroffenengesetzes. Ebenso wie bei Safe Harbor wird beim
Datenschutzschild eine Selbstzertifizierung vorgesehen. Diese ist nach Art. 25 Abs. 6 EG-DSRL 45
nicht generell ausgeschlossen. Ein wirksamer Kontrollmechanismus, der es ermöglicht, Verstöße
gegen den Datenschutz festzustellen und zu verfolgen, ist jedenfalls notwendig. Die geplanten
Selbstzertifizierungs-Regeln sind allerdings löchrig. Sie enthalten beispielsweise keine Aussage,
was bei einer Nicht-FTC- oder -DOT-Selbst-Zertifizierung passiert, die aber bei einer anderen
Behörde erfolgt. Der DOT ist erheblich unverbindlicher als der FTC was die brieflichen Zusagen
betrifft. Das Beschwerdeverfahren des Datenschutzschildes ist detaillierter als das des Safe
Harbor und für alle Stakeholder ein aufwendiger Hürdenlauf, bei dem diese oft mangels
temporaler, monetärer und fachlicher Ressourcen scheitern. Nur bei Führung eines Prozesses
zur Streitschlichtung kommt es zu einer möglichen Überprüfung durch eine US-Behörde und ein
US-Gericht. Es gibt eine Klagemöglichkeit, aber die Behandlung von Fragen zur nationalen
Sicherheit und anderen öffentlichen Interessen ist untersagt. Der Betroffene hat wenig Chancen
da die Streitschlichtung nicht öffentlich erfolgt. Die Datenschutzaufsichtsbehörde darf nicht
vertreten und eine Vertretung durch Anwalt muss selbst bezahlt werden. Das Verfahren erfolgt
in englischer Sprache und räumlich in den Vereinigten Staaten nach oftmals für die Betroffenen
zu intransparenten US-Rechtsregeln. Konkrete Einzelfälle gibt es aufgrund des
Geschäftsgebarens von US-Unternehmen grundsätzlich nicht. In Europa gibt es im
Verbraucherbereich keine privaten Streitschlichtungsverfahren, diese sind nicht üblich und auch
ungeeignet. Diese sind bei Lösungen des Konflikts zwischen Staaten und Großunternehmen
geeigneter; es kommt zur Anwendung bei der Auslegung von Freihandelnsabkommen. Eine
Bewertung der zur Auswahl stehenden gemeinsamen Schlichter durch Betroffene ist nicht
möglich; eine Fernmanipulation der Privatverhandlungen und bei Nichtkenntnis der Eigenrechte
ist auch nicht möglich. EU-Betroffene haben nicht mehr Rechte als US-Bürger da in den
Aufsichtsverfahren der (Verbraucher-)Behörden nicht mehr gewährt wird. Die Miteinbeziehung
des Datenschutzschildes ändert aufgrund seines Nichtentsprechens der europäischen
45
Vgl Art 25 (6) EG-DSRL – RL 95/46/EG.
24Datenschutzstandards nichts. Es kommt zu keiner Gewährleistung, da jedenfalls die FTC die
aufsichtliche Prüfung durchführt. Eine Abhängigkeit (geltend für die FTC, das DOC, das DOT als
Ministerien) der aufsichtlichen Prüfung ist gegeben. Die behördlichen Administrationsinteressen
sind nicht immer die Datenschutzinteressen. Eine unabhängige Stelle gem. Art. 8 Abs. 3
EUGRCh überwacht die administrative Befolgung der Dateschutzregelungen. Wesentlich für eine
Angemessenheitsentscheidung ist das Vorhandensein und die Wirksamkeit einer oder mehrerer
unabhängiger Aufsichtsbehörden in dem betroffenen Drittland. Ein äquivalenter Ersatz ist im
Datenschutzschild nicht vorgesehen. Die Effektivität und die Äquivalenz des Datenschutzniveaus
wird benötigt. In der Kommissionsentscheidung mangelt es an rechtlich und faktisch bindenden
Aussagen. Jeder von einer unzulässigen Datenübermittlung an die USA Betroffener muss sich
an die zuständige europäische Datenschutzbehörde wenden. Diese kann die Datenübermittlung
in die USA untersagen. Andernfalls kann der Betroffene eine Klage vor einem nationalen Gericht
gegen die Datenschutzbehörde vornehmen.
3.6. Entschließung des Europäischen Parlaments zur Angemessenheit
des vom EU‐US‐Datenschutzschild gebotenen Schutzes
3.6.1. Schlussfolgerung
Die Kommission wird vom Europäischen Parlament aufgefordert alle Maßnahmen
durchzuführen, sodaß der Datenschutzschild ohne Einschränkung mit der ab dem 25. Mai 2018
geltenden VO (EU) 2016/67947 und der EU-Grundrechtecharta konform ist und es über die
Angemessenheitsbedingungen zu keinen Falltüren oder Vorteilen im Wettbewerb für US-
Unternehmen kommt. Die Artikel-29-Datenschutzgruppe hat in ihrem Report über die kollektive
Überprüfung gefordert, die festgestellten Fehler augenblicklich behoben werden, aber die
Gespräche über die Datenschutzschild-Regelgung wurden bedauerlicherweise aufgrund des
Europäischen Parlaments nicht wieder aufgenommen. Das Europäische Parlament hat die
Kommission und die zuständigen US-Behörden aufgefordert, die Gespräche unverzüglich
fortzusetzen. Die Grundrechte wie der Schutz der Privatspähre und der Datenschutz sind
rechtlich durchsetzbar. Sie sind in den Verträgen, der Charta der Grundrechte und der
Europäischen Menschenrechtskonvention sowie in Gesetzten und der Rechtssprechung
manifestiert. Eine „Abwegung“ von Wirtschafts- oder Politikinteressen darf es bei der Anwendung
nicht geben. Hiermit soll einer Behinderung des Handels un der internationalen Beziehungen
entgegengewirkt werden. Es kann gesagt werden, dass die vom EuGH gemäß seiner Auslegung
25Sie können auch lesen
