Welchen Einfluss hat die „Executive Order“ des Präsidenten auf das EU-US Privacy Shield Abkommen?

Am 25.1.2017 veröffentlichte das Büro des Pressesprechers des Weißen Hauses eine Anordnung des Präsidenten zur Verbesserung der öffentlichen Sicherheit im Innern der Vereinigten Staaten.

 

In Section 14 der Anordnung heißt es in Bezug auf den Privacy Act:

“Agencies [FBI, NSA, CIA etc.] shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”

Fraglich ist, welchen Einfluss die Ausdehnung der Fähigkeiten der US-Bundesbehörden und Geheimdienste, „nicht US-Bürgern“ und „nicht Aufenthaltsberechtigten“ vom Datenschutz auszunehmen, auf das noch relativ junge EU-US Privacy Shield Abkommen hat.

Peter Schaar, ehemals Bundesbeauftragter für Datenschutz und Informationsfreiheit, sieht die Voraussetzung des „angemessenen Datenschutzniveaus“ durch die Executive Order gefährdet. Das angemessene Schutzniveau wurde durch den Angemessenheitsentschluss der Europäischen Kommission festgestellt und das EU-US Privacy Shield Abkommen ersetzte das Safe Harbor Abkommen. Der Angemessenheitsentschluss basierte u.a. auf dem Bekenntnis der Obama-Regierung zur Presidential Policy Directive 28. Diese beschränkt die Auslandsüberwachung und etabliert zugleich datenschutzrechtliche Grundsätze, die auch EU-Bürger erfassen. Laut Schaar sei dies nun hinfällig.

Gegen die Ansicht von Peter Schaar spricht, dass die Executive Order keine Auswirkung auf das EU-US Privacy Shield Abkommen hat, da diese nur im Einklang mit anwendbarem Recht, in diesem Fall dem Judicial Redress Act 2015 (JRA) Anwendung finden kann. Der JRA gibt EU-Bürgern für den Fall von Datenschutzverletzungen ein Klagerecht in den USA. Dem US-amerikanischen Verfassungsrecht nach ist es dem Präsidenten nicht möglich, die vom Kongress ordnungsgemäß erlassenen Statuten aufzuheben. Darüber hinaus bezieht sich Section 14 der Executive Order auf den Privacy Act. Dieser wiederum bezieht sich auf Rechtsbehelfe im Zusammenhang mit Regierungsdatenbanken, während das EU-US Privacy Shield Abkommen den Schutz personenbezogener Daten in Unternehmensdatenbanken regelt. Auch die weiteren Verpflichtungen der US-Regierung, auf die der Angemessenheitsentschluss der Europäischen Kommission basiert, bspw. zur die Presidential Policy Directive 28, bleiben somit unberührt (so auch die International Association of Privacy Professionals (IAPP)).

Europäische Unternehmen, die personenbezogene Daten an US-Unternehmen übermitteln, die sich dem EU-US Privacy Shield Abkommen unterworfen haben und eine entsprechende Zertifizierung besitzen, können also weiterhin darauf vertrauen, dass die Datenübermittlung in die USA datenschutzkonform ist.

Hiervon losgelöst hat die Executive Order jedoch zu großer Verwirrung und in Verbindung mit dem medialen Echo zu einem Vertrauensverlust bezüglich des Datenschutzniveaus in den USA geführt.

Unabhängig vom EU-US Privacy Shield Abkommen gibt es verschiedene Alternativen, schnell und effizient für eine rechtmäßige und datenschutzkonforme Datenübermittlung in die USA zu sorgen.

 

Autor: Nils Waldeck

1. Februar 2017