Am 13.4. hat die sog. Art. 29-Gruppe (Beratungsgremium gem. Art. 29 der Richtlinie 95/46 vom 24.10.1995, ABL L 281 S. 31ff v. 23.11.1995) zu dem von der EU-Kommission am 29.2.2016 veröffentlichtem Entwurf für ein neues Safe Harbour Abkommen, genannt „EU-US Privacy Shield“, Stellung genommen (Stellungnahme der Art. 29-Gruppe v. 13.4.2016).
Deutliche Kritik
Wie bereits aufgrund von vorher bekannt gewordenen Presseberichten zu erwarten war, hat die Art. 29-Gruppe deutliche Kritik an dem neuen Abkommen geübt (zu den 5 Mängeln und den zwei Schwachstellen im Verhältnis zu den USA siehe CRonline News, „Datentransfer in Drittländer: Stellungnahme der Art. 29 Datenschutzgruppe zum ‚EU-US Privacy Shield'“).
- Beratende Funktion
Die Aussagen der Art. 29-Gruppe stellen aus Sicht der EU-Kommission zwar einen Rückschlag auf dem Weg zu einem neuen Abkommen dar, da dieses Gremium mit hervorragenden und anerkannten Fachleuten besetzt ist, deren Wort Gewicht hat. Das Votum hat aber für die EU-Kommission keine entscheidende Bedeutung, da die Gruppe nur beratende Funktion hat.
- Maßgebliches Votum
Wichtiger ist in diesem Zusammenhang das Votum des nach Art. 31 der Richtlinie zu bildenden Ausschusses. Sollte nämlich dieser Ausschuss das Abkommen ablehnen, müsste die EU-Kommission die Thematik dem EU-Rat vorlegen, der dann mit qualifizierter Mehrheit, d.h. unter Berücksichtigung der Gewichtung der Stimmen der Mitgliedsstaaten, einen anderen Beschluss fassen und den Ausschuss überstimmen müsste.
Unterschiedlicher regulatorischer Ansatz
Unabhängig davon, ob man mit allen Details des vorliegenden Entwurfs für ein neues Abkommen zufrieden sein will, sollte man aber folgende Gesichtspunkte beachten:
- Strenges regulatorisches Modell in EU
Dem Datenschutzrecht in Europa liegt bekanntlich ein sehr strenges regulatorisches Modell zugrunde. Dieses Modell ist durch ein generelles Verbot der Datenverarbeitung personenbezogener Daten mit einzelnen, eng begrenzten Erlaubnistatbeständen gekennzeichnet, vgl. Art. 7 EU-Richtlinie. In der neuen, voraussichtlich ab 2018 geltenden Datenschutz-Grundverordnung wird dieses Modell fortgeführt, vgl. Art. 6 DS-GVO.
__________
Anzeige:
__________
- Grundsätzliches Selbstzertifizierungs-Modell in USA
Dagegen folgt man in den USA einem gänzlich anderen regulatorischen Modell, das auf einer grundsätzlichen Selbstzertifizierung beruht, die es den am Wirtschaftsleben Beteiligten weitgehend selbst überlässt, die Regeln zu bestimmen (s. hierzu Lejeune, CR 2013, 755 und CR 2013, 822 ff. sowie Kranig/Peintinger, ZD 2014, 3 ff.).
In den USA gibt es bisher auf Bundesebene nur zu einzelnen Bereichen Bundesgesetze, wie z.B. bei medizinischen Daten (vgl. den Health Insurance Portability and Accountability Act, [„HIPAA“], 42 U.S.C. 45 C.F.R. part 160 and subparts A and E of part 164) oder beim Schutz Minderjähriger (vgl. den Children Online Privacy Protection Act, [„COPPA“], 15 U.S.C. §§ 6501-6506 (Pub.L. 105-277, 112 Sat.).
In Ermangelung eines allgemeinen, umfassenden Datenschutzgesetzes auf Bundesebene ist das Datenschutzrecht weitgehend durch Gesetze der einzelnen Bundesstaaten geregelt, deren Niveau teilweise als dem der EU vergleichbar (wie in Kalifornien), teilweise aber als weit unterhalb dieses Niveaus befindlich anzusehen sein dürfte. Das US-amerikanische Datenschutzrecht ist daher relativ unübersichtlich und uneinheitlich ausgestaltet.
Folge für ein „EU-USA Privacy Shield“-Modell
Es ist an dieser Stelle kein Platz, darüber nachzudenken, ob das strenge europäische Modell wirklich noch in allen Bereichen angemessen ist (siehe Kritik hierzu bei Schneider/Härting, CR 2014, 306ff) oder ob das US-amerikanische Modell, das letztlich den Wettbewerb als Korrekturfaktor betrachtet, in Anbetracht der Abhängigkeit der Verbraucher von großen marktbeherrschenden Unternehmen der IT-Branche tatsächlich den Anforderungen der Praxis gerecht wird.
Man darf m.E. unter Berücksichtigung dieser generellen Unterschiede nicht erwarten, dass das neue „EU-US Privacy Shield“ Abkommen in allen wesentlichen Punkten dem europäischen Modell und dem dahinterstehenden Denken gerecht werden bzw., dass die EU „ihr Modell“ gegenüber den USA durchsetzen kann. Stattdessen sollte man den EU-US Privacy Shield als Modell für ähnliche Abkommen sehen, die möglicherweise in absehbarer Zeit mit anderen Staaten abzuschließen sein werden, die immer größere Bedeutung für den internationalen Handel und damit am Ende für den Wohlstand in Europa besitzen und die teilweise wie z.B. China noch nicht einmal über ein demokratisches Wertesystem verfügen.
Kompetenz-Defizit der EU
Der EuGH hat in seiner Schrems-Entscheidung (EuGH, Urt. v. 6.10.2015 – Rs. C-362/14, CR 2015, 633 m. Anm. Härting dazu Moos/Schefzig, CR 2015, 625 und Lejeune, ITRB 2015, 257) insb. die anlasslose Massenüberwachung durch die US-amerikanischen Sicherheitsbehörden als mit den Grundrechten der EU-Grundrechtscharta unvereinbar angesehen. Das ist im Ergebnis ohne Zweifel richtig. Die rechtliche Dogmatik, die dem Urteil zugrunde liegt, ist aber aufgrund der folgenden Ãœberlegungen sehr zweifelhaft:
- Keine Kompetenz der EU in Fragen nationaler Sicherheit
In Art. 4 Abs. 2 Satz 2 des Vertrags über die Europäische Union (konsolidierte Fassung 2012, ABl. C 326/13) wird ausdrücklich ausgeführt, dass die nationale Sicherheit weiterhin in die alleinige (!) Verantwortung der einzelnen Mitgliedsstaaten fällt. In Art. 6 Abs. 1 des Vertrags erkennt die Union die Rechte, Freiheiten und Grundsätze an, die in der Charta der Grundrechte der Europäischen Union vom 7.12.2000 bzw. vom 12.12.2007 niedergelegt sind. Die Charta der Grundrechte und die Verträge werden für rechtlich gleichwertig erklärt, aber in Satz 2 wird ausdrücklich geregelt, dass durch die Bestimmungen der Charta die in den Verträgen festgelegten Zuständigkeiten der Union „in keiner Weise erweitert“ werden.
- Kompetenz des EuGH: Datenschutz „ja“, aber nationale Sicherheit „nein“
Wenn man diese Regelungen in dem der Europäische Union zugrunde liegenden Vertrag, den man wohl als das „Grundgesetz der EU“ ansehen darf, bei einer Analyse des Schrems-Urteils berücksichtigt, dann darf der EuGH zwar über datenschutzrechtliche Fragen urteilen, Fragen der nationalen Sicherheit sind aber seinem Urteil von vorneherein entzogen, weil es insoweit an der grundlegenden Zuständigkeit der EU fehlt.
Konsequent zu Ende gedacht bedeutet das natürlich, dass der Datenschutz in der EU immer unter dem Vorbehalt der Befugnisse der nationalen Sicherheitsbehörden steht, sofern diese zum Schutz dieser nationalen Sicherheit agieren. Der EuGH hätte daher bei der Ermittlung des in der EU geltenden Datenschutzniveaus diese Abgrenzung beachten müssen. Dann wäre der Kritik an den ausufernden Aktivitäten der US-amerikanischen Geheimdienste der Boden entzogen, weil der EuGH auch die Aktivitäten der Geheimdienste der Mitgliedsstaaten als dem in der EU geltenden Datenschutzrecht nicht entgegenstehend hätte hinnehmen müssen.
Balance zwischen Datenschutz und nationaler Sicherheit
Ein derartiger allgemeiner Vorrang des Sicherheitsrechts gegenüber dem Datenschutzrecht ist trotz der schrecklichen Terroranschläge der letzten Monate sicher nicht wünschenswert. Es geht vielmehr darum, im Rahmen einer Abwägung zu ermitteln, inwieweit ein Staat auf der einen Seite die Freiheit seiner Bürger beschränken darf, um auf der anderen Seite genau diese Freiheit sicherstellen zu können.
Das Schrems-Urteil des EuGH zeigt, dass das EU-Recht in dieser Hinsicht dringend einer Klarstellung hinsichtlich der Abgrenzung der Zuständigkeiten zwischen den Mitgliedsstaaten und der EU im Bereich der nationalen Sicherheit bedarf.
Es bleibt abzuwarten, wie das Bundesverfassungsgericht diese Zuständigkeiten im Schnittfeld des Sicherheits- und des Datenschutzrechts einstufen wird, wenn das Gericht über das kürzlich erlassene, deutsche Gesetz zur Vorratsdatenspeicherung zu entscheiden haben wird.