2183556

EU-U.S. Privacy Shield: Abkommen zum Datenschutz noch nicht eindeutig geklärt

16.03.2016 | 14:50 Uhr |

Nach dem Aus von Safe Harbor bringt das EU-U.S. Privacy Shield einen neuen Rechtsrahmen für Datenexporte in die USA.

Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung zu Safe Harbor am 6. Oktober 2015 hohe Wellen in die transatlantischen Datenströme geschlagen. Mit Verkündung des Urteils waren Datenexporte in die USA auf Basis von Safe Harbor als illegal einzustufen, was mit einem sofortigen Stopp diesbezüglicher Datenflüsse einherzugehen hatte.

Schnell waren Aufsichtsbehörden für den Datenschutz versucht, auf Grundlage der Enthüllungen des Whisteblowers Snowden und dem EuGH-Urteil das gesamte Schutzniveau der USA für Daten von EU-Bürgern in Zweifel zu ziehen. Die Folgen für die Wirtschaft wären immens, immerhin stellen die USA einen der wichtigsten Handelspartner für deutsche Unternehmen dar, und kaum ein Dienst kommt heutzutage ohne den Austausch persönlicher Daten aus.

Das Urteil zu Safe Harbor und seine Folgen

Der „sichere Hafen“ hatte ein Ende, was nach Jahren der Kritik von Seiten europäischer Datenschützer und Parlamentarier nicht überraschend war. Sowohl die EU-Mitgliedstaaten als auch die europäischen Institutionen – so vor allem die EU-Kommission - waren nun nachdrücklich dazu aufgefordert, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen für einen angemessenen Schutz der Grundrechte der EU-Bürger zu finden. Denn sowohl in Brüssel als auch in den Mitgliedstaaten war man sich einig, dass ein Ende des Datenaustauschs mit den USA keine Option sein könne.

Zwar war Safe Harbor nicht die einzige Möglichkeit für einen zulässigen Export personenbezogener Daten in die USA. So bestand die alternative Möglichkeit, sogenannte Standardvertragsklauseln zu verwenden oder unternehmensinterne Regeln („Binding Corporate Rules“) aufzustellen. Allerdings waren die Feststellungen des EuGH zu Safe Harbor so weitreichend, dass diese alternativen Werkzeuge nun auch unter besonderer Beobachtung standen.

Die europäischen wie deutschen Aufsichtsbehörden gaben sich zunächst eine Frist bis Ende Januar 2016, bis über die allgemeine Zulässigkeit von Datenübermittlungen in die USA abschließend zu entscheiden sei. Je nach Ausgang der Prüfung sollten hiesige Datenverarbeiter dann sanktioniert werden.

Das EU-U.S. Privacy Shield

Kurz nach Ablauf der gesetzten Frist veröffentlichte die EU-Kommission am 2. Februar eine Presseerklärung, in der eine Einigung zwischen der Kommission und den Vereinigten Staaten hinsichtlich eines neuen "EU-U.S. Privacy Shield“ verkündet wurde und die bereits erste Eckpunkte vorgesehener Maßnahmen beinhaltete.

Detaillierte Informationen hinsichtlich der Umsetzung der Vorgaben des EuGH bezüglich der transatlantischen Datenströme waren der Erklärung noch nicht zu entnehmen, was die europäischen Aufsichtsbehörden in Gestalt der sogenannten Artikel-29-Datenschutzgruppe zu der Aufforderung veranlasste, man möge ihnen die Unterlagen der Einigung bis Ende Februar 2016 zur Prüfung vorlegen. Mittels der vorgelegten Unterlagen könne dann auch eine abschließende Einschätzung zu den alternativen Instrumentarien für einen Datenexport in die USA, so auf Basis der Standardvertragsklauseln oder der Binding Corporate Rules, erfolgen.

Kurz vor Ende der durch die Artikel-29-Gruppe festgesetzten Frist veröffentlichte die EU-Kommission am 29. Februar verbindliche Inhalte des neuen EU-U.S. Privacy Shield als Nachfolgeinstrument zu Safe Harbor. Ziel soll es sein – wie bereits im Rahmen von Safe Harbor – ein angemessenes Datenschutzniveau beim Datenempfänger in den USA zu gewährleisten.

Hinsichtlich des Anwendungsbereichs tritt beim Privacy Shield aber zunächst keine Neuerung ein: Nur zertifizierte Unternehmen in den USA sollen in den Genuss europäischer Daten kommen, die sich entsprechend zur Einhaltung der „EU-U.S. Privacy Shield Framework Principles“ verpflichten. Im Gegensatz zu Safe Harbor wurden die darin verankerten Vorgaben für US-Datenverarbeiter nochmals erhöht.

Mehr Transparenz

Wie Safe Harbor baut das Privacy Shield auf eine Selbstzertifizierung von datenschutzwilligen Unternehmen. Sie erfolgt durch eine Erklärung gegenüber dem US-Handelsministerium und bedarf einer jährlichen Aktualisierung.

Neu ist die Publizität von Zertifizierungen, die in der Vergangenheit nicht ausreichend gewährleistet war: Das US-Handelsministerium soll nunmehr ein Register führen, das neben bestehenden Zertifizierungen auch unwirksame bzw. entzogene Zertifikate sowie den diesbezüglichen Grund aufführt.

Dauerhafte Verstöße gegen die Vorgaben des Privacy Shield resultieren nicht nur in der Entfernung aus dem Register aktueller Zertifizierungen, sondern münden in der Pflicht zur Löschung aller unter dem Privacy Shield empfangenen Daten. Anhängige Verfahren bei der Federal Trade Commission (FTC) als einem Organ der Aufsicht über das Privacy Shield, beispielsweise aufgrund eines Verstoßes gegen dessen Vorgaben, werden über das Register nun ebenfalls kommuniziert.

Beschwerden und Abhilfemaßnahmen

Bereits unter Safe Harbor mussten US-Datenverarbeiter Beschwerdeverfahren zugunsten von Betroffenen einrichten und die eingerichtete Kontaktstelle zur Entgegennahme von Beschwerden über die Datenschutzerklärung kommunizieren.

Um diese Verfahren zu beschleunigen, sind Beschwerden Betroffener nunmehr innerhalb einer Frist von 45 Tagen durch den US-Datenverarbeiter zu beantworten. Ebenso wird auf Seiten des US-Handelsministeriums sowie der FTC eine Kontaktstelle für europäische Aufsichtsbehörden eingerichtet, um Beschwerden Betroffener anzunehmen und beim US-Datenverarbeiter nachzuverfolgen. Die Kontaktstelle beim Handelsministerium hat innerhalb von höchstens 90 Tagen über den Verlauf bzw. Ausgang des Verfahrens informieren.

Ebenso hat das Handelsministerium jährlich über eingegangene Beschwerden Bericht zu erstatten. Neben den erwähnten Kontaktstellen für aus Europa eingehende Beschwerden soll die Meinung der europäischen Aufsicht zu bestimmten Streitfällen über ein eigenes, jedoch informelles Gremium Gehör finden.

Für die Beschleunigung des Verfahrens sorgt wiederum eine Frist von 60 Tagen, innerhalb derer die Aufsicht ihre Meinung gegenüber dem Handelsministerium bzw. der FTC kommuniziert haben muss. Sollte ein Unternehmen nicht innerhalb von 25 Tagen den Rat der Aufsichtsbehörden umsetzen, werden wiederum die Aufsichtsorgane über das Privacy Shield informiert, was in Durchsetzungsmaßnahmen münden kann.

Sollte der Beschwerde eines Betroffenen über keines der verfügbaren Verfahren Abhilfe verschafft werden können, soll das „Privacy Shield Panel“ als letzte Instanz durch den Betroffenen angerufen werden können. Dieses aus 20 ständigen Mitgliedern bestehende und vom US-Handelsministerium ernannte Expertengremium wird sich mittels einer Unterarbeitsgruppe Beschwerden von Betroffenen anhand festgelegter Verfahrensregeln zuwenden. Betroffene können den Verhandlungen über eine Video- oder Telefonkonferenz beiwohnen. Auf Basis einer nachvollziehbaren Begründung des Betroffenen kann auch eine Übersetzung der Verhandlung kostenfrei zur Verfügung gestellt werden. Für Vorbereitungsmaßnahmen des Betroffenen im Vorfeld der Verhandlung soll die zuständige nationale Aufsichtsbehörde unterstützend mitwirken.

Sind Schlichtungs- oder Durchsetzungsmaßnahmen auch nach Einberufung des Privacy Shield Panels in den Augen eines Betroffenen immer noch nicht ausreichend erfolgt, um seiner Beschwerde Abhilfe zu verschaffen, besteht in letzter Instanz die Möglichkeit des Anrufens einer Schiedsgerichtsbarkeit in den USA nach dem Federal Arbitration Act.

Verwendung von Daten des Privacy Shield für die nationale Sicherheit

Den Verhandlungen zum Privacy Shield ging eine eingehende Analyse bestehender Beschränkungen des US-Rechts hinsichtlich der Verwendung personenbezogener Daten durch Geheimdienste, vorhandene Rechtsschutzmöglichkeiten sowie hinsichtlich der Überwachung solcher Dienste voraus.

Neben dem bestehenden Rechtsrahmen der US-Gesetze wurden weitere Restriktionen bzw. Überwachungsmechanismen für Datenzugriffe durch US-Geheimdienste zwischen der EU-Kommission und Vertretern der US-Regierung vereinbart. Herauszuheben ist die Einrichtung einer unabhängigen Ombudsperson für Datenschutz („Privacy Shield Ombudsperson“). Diese Ombudsperson soll nicht nur auf Anfrage einer ausländischen Regierung hin Datenverarbeitungen der US-Geheimdienste auf ihre Zulässigkeit prüfen, sondern ebenfalls Beschwerden von Betroffenen nachgehen.

Eine direkte Anlaufstelle für Betroffene stellt die Ombudsperson jedoch nicht dar. Vielmehr müssen sich Betroffene zunächst an die jeweilige nationale Aufsicht in der EU bezüglich vermuteter Geheimdienstaktivitäten wenden, bevor diese eine Beschwerde weiterleitet. Hierbei haben Betroffene jedoch nicht zu beweisen, dass ihre Daten tatsächlich durch Geheimdienste unzulässig verwendet wurden.

Angemessenes Datenschutzniveau

Da europäische Datenexporte auf ein angemessenes Datenschutzniveau beim US-amerikanischen Datenempfänger angewiesen sind, findet sich unter den verbindlichen Dokumenten zum Privacy Shield auch ein Entwurf für eine sogenannte Angemessenheitsentscheidung der Kommission zur Gewährleistung eines angemessenen Datenschutzniveaus für zertifizierte US-Unternehmen nach dem EU-U.S. Privacy Shield.

In den Augen der Kommission bieten die USA durch die neuen Vorgaben des Privacy Shield sowie die rechtlichen Rahmenbedingungen für die Verwendung personenbezogener Daten von EU-Bürgern durch US-Geheimdienste ein angemessenes Datenschutzniveau.

Da die Angemessenheitsentscheidung erst der Artikel-29-Gruppe zur Stellungnahme weitergeleitet werden soll und ein gesondertes Ausschussverfahren nach europäischen Datenschutzrichtlinien zu durchlaufen hat, können Datenübermittlungen in die USA auf Basis des EU-U.S. Privacy Shield zu diesem Zeitpunkt noch nicht erfolgen.

Mit einer Stellungnahme der Artikel-29-Gruppe ist im April zu rechnen.

Fazit

Die Rechtslage zur Zulässigkeit transatlantischer Datenströme in die USA ist weiterhin nicht eindeutig erklärt, insbesondere so lange sich die europäischen Aufsichtsbehörden bezüglich der alternativen Übermittlungswerkzeuge sowie dem EU-U.S. Privacy Shield nicht eindeutig positioniert haben.

Nicht von der Hand zu weisen sind die politischen Bemühungen, um in den USA ein angemessenes Datenschutzniveau zu gewährleisten. Bis zum Zeitpunkt der endgültigen Positionierung der europäischen Aufsichtsbehörden bzw. der Verabschiedung der Angemessenheitsentscheidung zum EU-U.S. Privacy Shield haben verantwortliche Stellen abzuwägen, ob sie weiterhin personenbezogene Daten in die USA übermitteln möchten.

Sollten Stellen weiterhin auf Datenexporte in die USA setzen, sollte ein verstärktes Augenmerk auf die Aussagen der zuständigen Aufsicht zur Zulässigkeit der alternativen Übermittlungswerkzeuge gelegt werden.

Ebenso sollte die Implementierung erweiterter technisch-organisatorischer Maßnahmen erwogen werden, um personenbezogene Daten zusätzlich zu schützen.

0 Kommentare zu diesem Artikel
2183556