12.12.2016 von

Privacy-Shield: Datenschutz als Fata Morgana

Mit dem Privacy-Shield gibt es seit Juli 2016 eine Nachfolgeregelung für die aufgehobene Safe-Harbor-Regelung. Doch Datenschutz gegenüber US-Behörden bleibt weiter eine Illusion.

Damit hätten eigentlich Monate der Ungewissheit zu Ende gehen sollen: Mit der Verabschiedung des Privacy-Shields durch die Europäische Kommission am 12. Juli 2016 wurde wieder die Möglichkeit geschaffen, personenbezogene Daten ohne Genehmigung der Datenschutzbehörden oder vertragliche Zusicherungen an US-Unternehmen zu übermitteln (warum Datenübermittlungen ins Ausland oft illegal sind, lesen Sie hier). Voraussetzung ist lediglich, dass das Unternehmen durch eine Selbstzertifizierung gegenüber dem amerikanischen Handelsministerium bestätigt, die Grundsätze des europäischen Datenschutzrechts einzuhalten.

Detailverbesserungen beim Privacy-Shield

Im Verhältnis zur Vorgängerregelung Safe Harbor gibt es einige Detailverbesserungen. Durch den Privacy-Shield werden selbstzertifizierte Unternehmen dazu verpflichtet sein, eine Privacy-Policy auf ihrer Website zu veröffentlichen.

Weiters werden EU-Bürger sich an eine neu geschaffene Ombudsstelle wenden können, die dem US-Außenministerium unterstellt sein wird. Außerdem haben Betroffene unter dem Privacy-Shield die Möglichkeit, gegen das US-Unternehmen Schiedsverfahren einzuleiten, um ihre Rechte durchzusetzen.

Davon unabhängig gilt wie bereits unter Safe Harbor auch unter dem Privacy-Shield, dass jede Verletzung des Privacy-Shields durch ein selbstzertifiziertes US-Unternehmen als irreführende Geschäftspraktik von der U.S. Federal Trade Commission (FTC) mit schmerzhaften Strafen geahndet werden kann. Allerdings ist nicht zu erwarten, dass sich die bisher eher zurückhaltende Rechtsdurchsetzungspraxis der FTC ändern wird – zwischen 2009 und 2012 leitete die FTC lediglich zehn Verfahren in Bezug auf Safe-Harbor-Verletzungen ein. Dies nicht zuletzt deshalb, weil europäische Datenschutzbehörden typischerweise nur ein sehr geringes Interesse daran zeigen, bei Datenschutzverletzungen von US-Unternehmen mit der FTC zusammen zu arbeiten – während des fünfzehnjährigen Bestehens von Safe Harbor haben europäische Datenschutzbehörden die FTC nur viermal über potenzielle Safe-Harbor-Verletzungen informiert.

Privacy-Shield hilft nicht gegenüber US-Behörden

Ungeachtet der oben beschriebenen Detailverbesserungen ist es jedoch wahrscheinlich, dass der Privacy-Shield ebenso wie die Vorgängerregelung Safe Harbor vom Europäischen Gerichtshof wegen Verletzung des Grundrechts auf Datenschutz aufgehoben wird. Denn das eigentliche Problem liegt nicht in der Rechtsdurchsetzung gegenüber den selbstzertifizierten Unternehmen, sondern beim fehlenden Datenschutz gegenüber US-Behörden.

Privatsphäre gilt nur im Familienkreis

In krassem Gegensatz zu den Verfassungen der EU-Mitgliedstaaten und der Grundrechtecharta der EU kennt die US-Verfassung kein Grundrecht auf Datenschutz oder Privatsphäre. Der Vierte Verfassungszusatz schützt zwar vor unverhältnismäßigen Durchsuchungen und Beschlagnahmungen („unreasonable searches and seizures“), wird in der Rechtsprechung des Supreme Courts jedoch sehr eng ausgelegt. Schutz besteht nur, wenn der Betroffene eine berechtigte Erwartung auf Privatsphäre („reasonable expectation of privacy“) hatte. Eine solche berechtigte Erwartung wird vom Obersten Gerichtshof in Washington verneint, wenn die fraglichen Informationen mit anderen Personen als Familienmitgliedern oder Freunden geteilt wurden. Insbesondere sind daher Daten, die man einem Unternehmen (z.B. einem Cloud-Service-Provider) anvertraut, nicht mehr vom Vierten Verfassungszusatz geschützt. Dies wird auch als „Geheimhaltungsparadigma“ bezeichnet: Nur Informationen, die geheim gehalten werden, sind geschützt – jene, die mit Dritten geteilt werden und daher ganz besonderen rechtlichen Schutz benötigen würden, sind es nicht.

Schutz der Privatsphäre ist Bürger- statt Menschenrecht

Selbst in jenen engen Grenzen, in denen die US-Verfassung grundsätzlich einen Schutz der Privatsphäre bietet, werden sich EU-Bürger nicht darauf berufen können. Denn die durch die US-Verfassung gewährleisteten Rechte sind grundsätzlich nur Bürgerrechte („Civil Rights“) und keine Menschenrechte. Sie gelten daher auch nur für US-Staatsbürger und für Personen mit Wohnsitz in den USA.

Keine gesetzlichen Handlungsschranken für Geheimdienste

Ein weiterer grundlegender Unterschied ist, dass kontinentaleuropäische Verfassungen jegliches Handeln der exekutiven Staatsgewalt grundsätzlich nur bei entsprechender gesetzlicher Grundlage zulassen (sog. Legalitätsprinzip). Dem Staat ist daher alles verboten, was ihm nicht ausdrücklich durch Gesetz erlaubt ist. Die US-Verfassung kennt ein solches Legalitätsprinzip jedoch nicht, weshalb die exekutive Staatsgewalt in den USA auch ohne gesetzliche Grundlage handeln kann. Dies erklärt auch, warum die NSA ihr umfassendes Programm zur Überwachung des gesamten Internetverkehrs bis zu den Enthüllungen von Edward Snowden geheim halten konnte. In Österreich wäre ein solches Überwachungsprogramm im Bundesgesetzblatt nachzulesen gewesen.

Exekutive hat Handlungsfreiheit im Ausland

Schließlich sind die wenigen Schranken, die das US-Recht insbesondere den Geheimdiensten auferlegt, nur dann anwendbar, wenn Handlungen auf dem Territorium der USA gesetzt werden. Das Handeln von Staatsorganen im Ausland unterliegt jedoch weder der US-Verfassung noch dem Gesetzesrecht der USA. Insbesondere die NSA ist bei ihrem Handeln im Ausland daher nur an behördeninterne (großteils geheime) Weisungen gebunden. Dies steht im Gegensatz zur europäischen Rechtstradition, nach der nationales (Straf-)Recht auch auf Taten angewendet wird, die von Inländern im Ausland begangen werden.

An dieser Rechtslage hat sich auch seit der Aufhebung von Safe Harbor nichts geändert. Die Europäische Kommission verweist in ihrer Privacy-Shield-Entscheidung zwar auf verschiedene „Presidential Policy Directives“, die den Handlungsspielraum der US-Geheimdienste angeblich beschränken. Bei diesen Policy Directives handelt es sich jedoch nicht um Gesetze, sondern lediglich um interne Weisungen des US-Präsidenten, somit eine Art Selbstbeschränkung der Exekutive. Derartige Weisungen bieten nicht annähernd dieselbe Sicherheit wie Gesetze, weil der aktuelle oder der nächste US-Präsident diese jederzeit ändern könnte – bei Bedarf sogar im Geheimen. Wie sich anhand der Nummerierung der bisherigen „Presidential Policy Directives“ leicht feststellen lässt, hat Barack Obama bisher (zumindest) 19 derartiger Weisungen im Geheimen erlassen.

Conclusio

Der vermeintlich vom Privacy-Shield geschaffene Schutz der Privatsphäre gegenüber US-Behörden ist nicht mehr als eine Fata Morgana. Es ist daher durchaus wahrscheinlich, dass auch der Privacy-Shield wie schon zuvor Safe Harbor in zwei bis drei Jahren vom Europäischen Gerichtshof aufgehoben wird. Unternehmen sollten sich bei ihren internationalen Datentransfers daher nicht auf den Privacy-Shield verlassen, sondern sich zusätzlich absichern – zum Beispiel durch EU-Standardvertragsklauseln.

 

Einführung in die Datenschutz-Grundverordnung

Dieser Text erschien in gekürzter Form im August 2016 in der Zeitschrift „E-Media“.

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.