Google und der europäische Datenschutz: Beitritt von Google zum EU-U.S. Privacy Shield

Das allgemeine Persönlichkeitsrecht ist zwar im Grundgesetz (GG) nicht explizit erwähnt, aber seit einer Entscheidung des Bundesverfassungsgerichts (BVerfG) aus dem Jahre 1954 und seitdem in einer Vielzahl von Urteilen1 aus der in Art. 1 Abs. 1 GG garantierten Menschenwürde in Verbindung mit dem Grundrecht aus Art. 2 Abs. 1 GG auf freie Entfaltung der Persönlichkeit abzuleiten. Als solches umfasst das Allgemeine Persönlichkeitsrecht des Einzelnen auch das Recht auf informationelle Selbstbestimmung2 und damit auch das Recht auf den Schutz personenbezogener Daten, kurz Datenschutz.

Datenschutz ist jedoch nicht nur in Deutschland, sondern auch innerhalb der Europäischen Union (Art. 8 Charta der Grundrechte der Europäischen Union) ein Grundrecht und daher europaweit umfassend gesetzlich geschützt. So verbietet es die Datenschutzrichtlinie 95/46/EG der Europäischen Union, personenbezogene Daten in Drittstaaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Keinen so weitreichenden Schutz genießt der Datenschutz unter anderem in den USA, wo die größten Internet-Unternehmen der Welt unter anderem im Silicon Valley sitzen.

Damit der Datenverkehr in der stetig digitaler werdenden Welt zwischen der EU und den USA aber nicht zum Erliegen kommt, schloss die EU schon Anfang des neuen Jahrtausends3 mit der USA eine Vereinbarung ab, wonach die US-Regierung Regularien aufstellen sollte, um einen ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern zu gewährleisten. US-Unternehmen konnten nach den dann geschaffenen Regeln der USA dem sog. Safe-Harbor-Abkommen beitreten, wenn sie sich verpflichteten, die dort aufgestellten Vorschriften zum Datenschutz verbindlich einzuhalten.

Nachdem das Safe-Harbor-Abkommen aber vom Europäischen Gerichtshof (EuGH) in seiner Safe-Harbor-Entscheidung aus dem September 2015 (Az. C-362/14)4 wegen diverser Grundrechtsverstöße für ungültig erklärt wurde, begannen in der Folge unter Federführung der EU-JustizkommissarinVera Jourová die Verhandlungen zwischen der EU und den USA über ein neues Abkommen, das einen ausreichenden Schutz gewährleisten sollte.

Ergebnis dieser Verhandlungen zwischen der EU und den USA war das sog. EU-U.S. Privacy Shield (EU-US-Datenschutzschild5), das aus einer Vielzahl von Zusicherungen der US-Bundesregierung unter Barack Obama zum Datenschutz und dem sog. Angemessenheitsbeschlusses6 der EU-Kommission besteht, in dem die EU-Kommission den transatlantischen Datenverkehr wegen des hohen Schutzniveaus des EU-U.S. Privacy Shields als angemessen sicher im Sinne des EU-Datenschutzrechts erachtet7.

Explizit erklärtes Ziel des Privacy Shields ist die Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr8.

Die wesentlichen Kernelemente des Privacy Shields sind die folgenden:

Angemessenes Datenschutzniveau
Der Beschluss der EU-Kommission stellt in den Artikeln 1 bis 6 fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten aus dem EU-Raum gewährleisten, wobei in den Artikeln auch auf die zahlreichen Zusicherungen der USA hingewiesen wird9.

System der Selbstzertifizierung
Die datenimportierenden Unternehmen müssen sich selbst jährlich neu zertifizieren lassen und werden sodann auf der sog. Privacy Shield List veröffentlicht10. Insgesamt haben sich seit der Einführung des EU-US-Privacy Shields bereits über 2.400 US-Unternehmen zertifizieren lassen.

Die Einhaltung der Selbstverpflichtung soll – im Gegensatz zum Safe-Harbor-Abkommen – durch die Federal Trade Commission (FTC: Unabhängige Behörde für u.a. Verbraucherschutz), das US Department of Transportation (DOT: Verkehrsministerium der USA) und das US Department of Commerce (DOC: Handelsministerium der USA) sichergestellt werden11.

Der folgende Überblick soll einen Grundriss über die Maßnahmen aufzeigen:

  • Die FTC ist als Verbraucherschutzbehörde mit zahlreichen zivilrechtlichen Befugnissen zur Förderung des Verbraucherschutzes ausgestattet, um unlautere oder irreführende Handlungen von Unternehmen im Hinblick auf Datenschutzverletzungen zu unterbinden und die Befolgung der Verfügung zu kontrollieren. Daneben führt es politische Initiativen zur Durchsetzung des Datenschutzes durch und agiert mit anderen Behörden, um strafrechtliche Maßnahmen in die Wege zu leiten.
  • Das DOT führt Ermittlungen bei Verstößen gegen das EU-US-Privacy Shield und ergreift Durchsetzungsmaßnahmen (insb. Unterlassungsverfügungen und Anordnungen zur Festsetzung von zivilrechtlichen Haftungssanktionen) gegen unlauter handelnde Unternehmen. Sie kontrolliert die Einhaltung der Maßnahmen und gibt diese in der Öffentlichkeit bekannt.
  • Das DOC führt die sog. Privacy Shield List , die die zertifizierten Unternehmen aufführt bzw. auch den Grund für die von der Liste gestrichenen Unternehmen nennt, die wegen unlauterer Handlungen gestrichen wurden. Außerdem sorgt das DOC dafür, dass die zertifizierten Unternehmen eine kostenfreie unabhängige Streitbeilegung (Ombudsman) für EU-Bürger ermöglichen und sich der Zuständigkeit der FTC, DOT und weiterer Durchsetzungsstellen zu unterstellen.

Zugriffsbefugnisse der amerikanischen Behörden
Die EU-Kommission verlangt für die Durchsetzung eines effektiven Schutzes der Privatsphäre angemessene Zugriffsrechte12 und verweist dabei auf das US-Recht, das seit 2013 in entscheidenden Punkten verschärft worden sei13 und Aufsichtsmaßnahmen gegen Unternehmer enthalte. Insgesamt wird darauf hingewiesen, dass die EU-Kommission die Errichtung eines wirksamen Rechtsschutzes geprüft habe, wonach Rechtsbehelfe für die betroffenen EU-Privatpersonen in den USA zur Verfügung stehen, um den Datenschutz durchzusetzen14.

Jährliche Überprüfungspflicht der EU-Kommission
Schließlich ist noch zu erwähnen, dass sich die EU-Kommission selbst verpflichtet hat zu prüfen, ob das angemessene Datenschutzniveau in den USA wie vereinbart gehalten wird15. Der erste Prüfungsbericht wird in der zweiten Oktoberwoche 2017 vorliegen, wie die EU-Kommissarin für Justiz Vera Jourová am 21. September 2017 angekündigt hat16. Man wird gespannt sein dürfen, ob Amerika unter dem neuen Präsidenten Donald Trump und seiner „America first“-Politik sich an die Abmachungen der Obama-Regierung gebunden fühlt. Jedoch hängen an dem sicheren transatlantischen Datenverkehr tausende Arbeitsplätze auf beiden Seiten des Atlantiks, sodass es nach wie vor im Interesse der USA liegen dürfte, das Abkommen einzuhalten.

Jedenfalls besteht derzeit die Rechtssicherheit für Unternehmen, dass der transatlantische Datenverkehr an unter dem Privacy Shield zertifizierten Unternehmen auf das derzeit voll geltende Privacy-Shield-Abkommen gestützt werden kann.

Google ist dem EU-U.S. Privacy Shield zum 25. September 2016 beigetreten und seither unter dem Abkommen zertifiziert17. Etwaiger Datenverkehr zu den Servern von Google, die in den USA stationiert sind, können daher auf das Privacy-Shield-Abkommen gestützt werden. Zudem betreibt Google auch Rechenzentren auf dem europäischen Kontinent, sodass sich dort die Frage nach dem Beitritt zum Privacy Shield ohnehin nicht stellt, da die Daten in der EU gehalten werden.

Wikey Chada (Xing, LinkedIn) ist Rechtsanwalt (www.chada-law.de) in Wiesbaden. Seine aktuellen Tätigkeitsschwerpunkte liegen im deutschen und Internationalen Wirtschaftsrecht und dort insbesondere in den Bereichen IT-Recht, Datenschutzrecht, Urheberrecht, in den sonstigen Bereichen des gewerblichen Schutzrechts sowie im Steuerrecht und im Gesellschaftsrecht.

Wenn Sie mit Ihrem Unternehmen den Einsatz von Google-Technologie prüfen, helfen Ihnen //SEIBERT/MEDIA und Rechtsanwalt Herr Wikey Chada gerne weiter: Kontaktieren Sie uns!


[1] Insbesondere in dem sog. Lebach-Urteil aus 1973: BVerfGE 35, 202 ff. Abgerufen am 15.09.2017.

[2] Erstmals in seinem Volkszählungs-Urteil aus 1983: BVerfGE 65, 1 ff. Abgerufen am 15.09.2017.

[3] Entscheidung der Kommission vom 26. Juli 2000 (PDF) gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA. In: Amtsblatt der Europäischen Gemeinschaften, 25. August 2000, L215/7. Abgerufen am 15.09.2017.

[4] Europäischer Gerichtshof: Pressemitteilung Nr. 117/15 zum Urteil in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner. Abgerufen am 15.09.2017.

[5] Pressemitteilung der Europäischen Kommission vom 29.02.2016 über das EU-US-Datenschutzschild. Abgerufen am 15.09.2017.

[6] Beschluss der EU-Kommission vom 12.06.2016 (Sog. Angemessenheitsbeschluss). Abgerufen am 15.09.2017.

[7] Pressemitteilung der Europäischen Kommission vom 12.07.2016. Abgerufen am 15.09.2017.

[8] Siehe insoweit die Überschrift der Pressemitteilung aus Fußnote 5.

[9] Artikel 1 bis 6 aus dem Beschluss der EU-Kommission. Abgerufen am 15.09.2017.

[10] Sog. Privacy Shield List. Abgerufen am 15.09.2017.

[11] Erwägungsgrund 30 ff. des Beschlusses der EU-Kommission. Abgerufen am 15.09.2017. 

[12] Erwägungsgrund 52 in Verbindung mit Anhang II, Absatz I Nr. 5 aus dem Beschluss der EU-Kommission. Abgerufen am 15.09.2017.

[13] Erwägungsgrund 55 ff. des Beschlusses der EU-Kommission. Abgerufen am 15.09.2017.

[14] Erwägungsgrund 91 ff. des Beschlusses der EU-Kommission. Abgerufen am 15.09.2017.

[15] Erwägungsgrund 120 ff. des Beschlusses der EU-Kommission. Abgerufen am 15.09.2017.

[16] Pressemitteilung der EU-Kommission vom 21.09.2017. Abgerufen am 30.09.2017.

[17] Privacy Shield List. Abgerufen am 30.09.2017.


Artikelbild auf der Startseite: Ying und Yang 335/365 von Dennis Skley unter CC-Lizenz.

Artikel teilen:Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someonePrint this page