STRATEGIE9. Februar 2017

US-Datenschutzabkommen: Per Dekret unsicher? Die Konsequenzen für die Finanzwirtschaft

The White House/facebook

Der amerikanische Präsident Donald J. Trump sorgt für Unruhe – aktuell auch beim Thema Da­ten­schutz. Grund ist seine Executive Order zur öffentlichen Sicherheit in den Vereinigten Staaten von Amerika (USA) vom 25. Januar 2017. Nach der von Präsident Trump unterzeichneten Executive Order sollen Behörden im Rahmen geltenden Rechts gewährleisten, dass ihre Daten­schutz­regel­ungen Personen vom Schutz des Privacy Acts zu per­so­nen­be­zo­genen Daten ausschließen, die nicht US-Bürger oder rechtmäßige Einwohner sind. Welchen Einfluss hat das Dekret auf das Privacy Shield- und die Gültigkeit des SWIFT-Abkommens?

von Michael Strubel, CMS Deutschland und Ricarda Seifert, Referendarin am Kammergericht

Section 14 der Executive Order:  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Was bedeutet dieses Dekret nun? Sollen amerikanische Behörden das Datenschutzrecht nur noch beachten oder anwenden, wenn es um Daten von amerikanischen Bürgern geht – ganz im Sinne von “America first”? Welche Auswirkung hat dieses Dekret auf die Abkommen zum Datenschutz, die zwischen den USA und der EU bestehen? Im Finanz- und Bankensektor könnten dabei vor allem zwei Abkommen betroffen sein: das Privacy Shield und das SWIFT-Abkommen. Sind diese Abkommen nun in Gefahr? Berechtigte Sorge oder grundlose Aufregung?

Zur Klärung dieser Fragen hilft ein ruhiger Blick auf die einzelnen Abkommen und Regelungen.

Denn in der Praxis zeigt sich oft, dass im Datenschutzrecht vor allem im Bereich des internationalen Zah­lungs­ver­kehrs Unklarheiten bestehen. Das gilt besonders für die un­ter­schied­lichen Abkommen und An­wen­dungen zwischen der Europäischen Union (EU) und den USA.”

Wirkung von Executive Orders

Der aktuelle Auslöser der Sorgen – Trumps Executive Order: Eine Order ist eine verbindliche Anweisung an US-Bundesbehörden zur Anwendung und Auslegung geltenden Rechts. Gestützt wird diese formlose Rechtspraxis auf Art. II der US-Verfassung. Genutzt wurde sie ausgiebig von fast allen US-Präsidenten der Geschichte. Executive Orders können widerrufen und vom Nachfolger rückgängig gemacht werden. Sie dürfen nicht gegen geltendes Recht verstoßen.

Sie [Executive Orders] haben damit nicht den Rang eines Gesetzes, wie oft fälschlicherweise angenommen wird. Vielmehr stehen sie in der Hierarchie unter dem Gesetz.”

Anwendungsbereich des Privacy Shields

Als Nachfolger des Safe-Harbour-Abkommens regelt das Privacy Shield seit Ende Februar 2016 den Transfer personenbezogener Daten aus der EU in die USA. Hintergrund des Privacy Shields sind die unterschiedlichen Schutzniveaus des Datenschutzes in den USA und der EU. Allseits bekannt ist, dass in den USA ein anderes Verständnis zu Datenschutz und Privacy besteht als in der EU. Der Schutz von personenbezogenen Daten bewegt sich in den USA unter dem gesetzlichen Niveau der EU. Das europäische Datenschutzrecht verbietet aber grundsätzlich einen Datentransfer in Staaten mit einem nicht vergleichbaren Schutzniveau.

Und genau hier setzt das Privacy Shield an. Denn aufgrund des faktischen Bedürfnisses, den Datenaustausch zwischen US-Unternehmen und europäischen Unternehmen zu ermöglichen, musste eine einfache und praktikable Lösung geschaffen werden, die einen rechtmäßigen und rechtssicheren Datentransfer gewährleistet. Diese Lösung ist das Privacy Shield.

Um ein vergleichbares Datenschutzniveau in den USA herzustellen, bietet das Privacy Shield einen Rechtsrahmen für ein System der Selbstzertifizierung für amerikanische Unternehmen an, der insbesondere die Zugriffsbefugnisse amerikanischer Behörden auf personenbezogene aber auch Rechtschutzmöglichkeiten für betroffene Personen regelt. US-Unternehmen, die sich zur Einhaltung der Prinzipien des Privacy Shields verpflichten, können sodann auf Grundlage des Privacy Shields personenbezogene Daten aus der EU datenschutzkonform empfangen und verarbeiten.

Mehr als 1.500 Unternehmen fast aller Branchen machen davon Gebrauch. Ausgenommen hiervon sind aber amerikanische Banken. Das bedeutet jedoch nicht, dass eine Datenübermittlung an amerikanische Banken per se unmöglich ist.”

Autor Michael Strubel und Ricarda Seifert
Michael Strubel ist Rechtsanwalt bei CMS Deutschland und in den Bereichen Intellectual Property und Technology, Media & Communications tätig. Michael Strubel ist Experte auf dem Gebiet des Datenschutzes und vertritt in diesem Bereich nationale und internationale Unternehmen, insbesondere im Zusammenhang mit neuen digitalen Geschäftsmodellen. Seine Spezialgebiete sind Datenschutz im Internet, Compliance auf dem Gebiet des Datenschutzrechts sowie internationale Aspekte des Datenschutzrechts.

Ricarda Seifert ist Referendarin am Kammergericht in Berlin und absolviert ihre Anwaltsstation bei CMS Deutschland. Ihr Interesse gilt besonders dem Presse- und Datenschutzrecht.

Das europäische Datenschutzrecht bietet neben dem Privacy Shield noch weitere Möglichkeiten, einen Datentransfer in den USA zu legalisieren (z.B. die EU-Standardvertragsklauseln). Ebenso bedeutet dies nicht, dass das Privacy Shield für deutsche oder europäische Finanzdienstleister oder Kreditinstitute keine Bedeutung hat. Auch in der Finanzbranche ist es üblich, vor allem im IT-Bereich mit amerikanischen Dienstleistern zusammenzuarbeiten.

Cloud-Lösungen sind auch für die Finanzbranche nicht nur die Zukunft, sondern die Gegenwart.”

Sobald diese Dienstleister mit potenziell personenbezogenen Daten in Berührung kommen und zum Beispiel Daten von Kunden oder Mitarbeitern in die USA transferiert werden müssen, bietet das Privacy Shield die einfachste Lösung, ein angemessenes Datenschutzniveau auch in den USA zu gewährleisten.

Für ein angemessenes Datenschutzniveau bei Datentransfers zwischen den USA und der EU ist ausschlaggebend, dass EU-Bürgern wirksame Rechtsmittel zur Verfügung stehen, sich gegen Datenschutzverstöße auch in den USA zur Wehr setzen zu können. Unter den weniger restriktiven Regelungen des (gescheiterten) Safe Harbour-Abkommens bestand eine solche Möglichkeit gerade nicht. Dies änderte sich erst mit dem Privacy Shield und der Verabschiedung des Judicial Redress Act, der vor einem Jahr in Kraft trat.

Der Judicial Redress Act eröffnet erstmals die Möglichkeit, den durch den Privacy Act von 1974 nur US-Bürgern garantierten Schutz gegen Datenschutzrechtsverletzungen durch US-Behörden auch auf Angehörige anderer Staaten zu erweitern. Die dazu notwendige und im Judicial Redress Act vorgesehene Erklärung, für welche Staaten die Ausweitung gilt, erfolgt durch den Attorney General.

So hat die frühere Attorney General Loretta Lynch am 17. Januar 2017 durch eine auf dem Judicial Redress Act beruhende Erklärung die Wirkung des Privacy Acts auf die EU erstreckt. Seit dem 1. Februar 2017 ist diese Regelung in Kraft getreten.”

Anwendungsbereich des SWIFT-Abkommens

Während das Privacy Shield – sehr allgemein für eine Vielzahl von Branchen – ein System der Selbstzertifizierung für amerikanischen Unternehmen zur Verfügung stellt, die personenbezogene Daten in die USA transferieren, bietet das Abkommen zwischen der EU und den USA über die Übermittlung von Zahlungsverkehrsdaten (kurz: SWIFT-Abkommen) ausschließlich eine Sonderregelung für die Übermittlung von Daten über Finanztransaktionen im Bereich des internationalen Zahlungsverkehrs aus dem SWIFT-System. Das SWIFT-Abkommen regelt und begrenzt dabei die Zugriffsrechte von US-Behörden auf bei der SWIFT (Society for Worldwide Interbank Financial Telecommunication) gespeicherte Transaktionsdaten europäischer Bankkunden. Daher ist der Anwendungsbereich sehr eingeschränkt und Überschneidungen zum Privacy Shield sind ausgeschlossen.

Wenn es um internationale Finanztransaktionen über das SWIFT-System geht, findet das SWIFT-Abkommen Anwendung. Wenn personenbezogene Daten beispielsweise von einem deutschen FinTech-Startup zu einem Affiliate-Netzwerk in die USA transferiert werden, wird das Privacy Shield relevant.”

Aber auch im SWIFT-Abkommen finden sich Garantien zum Schutz von personenbezogenen Daten natürlicher Personen. Diese Garantien sehen eine besondere Verpflichtung zur Datensicherheit sowie eine Zweckbegrenzung der Datenverarbeitung im Rahmen des SWIFT-Abkommens vor. (Personenbezogene) Daten dürfen demnach nur für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung verarbeitet werden. Zudem soll betroffenen Personen das Recht zustehen, die Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten zu verlangen. Zur Durchsetzung dieser Rechte werden den betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung gestellt.

Datenschutzrechtliche Gemeinsamkeiten der Abkommen

Auch wenn die Anwendungsbereiche des Privacy Shields und des SWIFT-Abkommens sehr unterschiedlich sind, bestehen (datenschutzrechtliche) Gemeinsamkeiten: Sowohl das Privacy Shield als auch das SWIFT-Abkommen regeln – begrenzt auf ihre Anwendungsbereiche – die Zugriffsrechte von US-Behörden auf personenbezogene Daten, die Rechte der datenschutzrechtlich betroffenen Personen sowie die Rechtsdurchsetzung.

Um diese Verpflichtungen aus den Abkommen auch national umzusetzen, ist in den USA eine nationale Regelung erforderlich. Diese gesetzliche Grundlage ist in dem Judicial Redress Act gemeinsam mit der Erklärung des Attorney General EU-Bürgern zu finden. Der Judicial Redress Act bietet Rechtsbehelfe, die es betroffenen Personen ermöglichen, ihre Rechte auch in den USA durchzusetzen. Diese auf dem Judicial Redress Act beruhende Ausweitung der Rechtsmittel gegen datenschutzrechtliche Verstöße der US-Behörden veranlasste die Kommission zur Annahme eines prinzipiell ausreichenden Datenschutzniveaus in den USA.

Diese Annahme der Kommission ist wesentliche Grundlage des Privacy Shields, das trotz der Executive Order gültig ist.”

Auswirkung der Executive Order auf die Abkommen

Gefahr droht dem Privacy Shield und dem SWIFT-Abkommen nur dann, wenn Trumps Executive Order Einfluss auf den Judicial Redress Act hat.”

Da aber die Executive Order nur innerhalb des jeweils geltenden Rechts wirken kann und der Judicial Redress Act zusammen mit der entsprechenden Erklärung des Attorney Generals zum 1. Februar in Kraft trat und damit geltendes Recht ist, hat die Executive Order (momentan) keine Auswirkungen auf das Bestehen der Abkommen. Eine signifikante Änderung dieser Situation wäre denkbar, wenn der neue Attorney General, Jeff Sessions, die Erklärung der früheren Attorney General Loretta Lynch vom 17. Januar 2017 zurücknimmt. Pläne diesbezüglich sind zumindest bisher nicht bekannt.

Aber selbst im Falle einer Rücknahme der Erklärung haben Privacy Shield und SWIFT-Abkommen zunächst Bestand. Die Abkommen bleiben solange wirksam, bis sie entweder durch die EU-Kommission oder den EuGH aufgehoben werden.”

Fazit für die Finanzwirtschaft

Völlig gegenstandslos ist die Aufregung nach Trumps Worten vom 25. Januar 2017 nicht, die geltende Rechtslage ist aber bisher unverändert. Wie es weitergeht, bleibt abzuwarten. Grund zur Panik besteht nicht. Allerdings sollten die weiteren Entwicklungen in den USA mit wachem Auge verfolgt werden.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/44759

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert