Vor kurzem wurde am 12.07.2016 das Privacy-Shield-Abkommen, der Nachfolger des Safe-Harbor-Abkommens, in Kraft gesetzt. Es soll den Schutz personenbezogener Daten, die von Europa in die USA übermittelt werden, regeln und für diesen Datentransfer eine neue Rechtsgrundlage schaffen.
Stimmen in der Wirtschaft
Unternehmervertreter zeigen sich sichtlich erleichtert, hat ihr Datentransfer nach ihrer Auffassung nun endlich wieder eine solide rechtliche Grundlage:
"Privacy Shield sieht gegenüber dem alten Safe-Harbor-Abkommen ein deutlich höheres Datenschutzniveau vor, das durch verschiedene Mechanismen abgesichert ist und an das auch die Aufsichtsbehörden gebunden sind. Selbst wenn der EuGH hier irgendwann trotzdem Nachbesserungen fordern sollte, besteht nun endlich wieder Rechtssicherheit", äußerte sich eco-Vorstand des deutschen Verbands der Internetwirtschaft Oliver Süme.
Auch die EU-Mitgliedstaaten befürworteten im sogenannten Artikel-31-Ausschuss den Privacy Shield mehrheitlich.
Die Artikel-29-Datenschutzgruppe äußerte jedoch kurz vor der Sitzung des Artikel-31-Ausschusses nochmals ihre Bedenken gegen den ursprünglichen Entwurf. Die Gruppe kündigte des Weiteren an, die Kommissionsentscheidung nach ihrer Verabschiedung baldmöglichst zu prüfen und eine Stellungnahme mit ihren Ergebnissen dazu vorzulegen.
Aber Kritiker, allen voran der österreichische Jurist Max Schrems, der durch seine Klage dafür sorgte, dass der EuGH das Safe-Harbor-Abkommen überprüft, äußern schon jetzt starke Bedenken.
Grundsätze des Privacy-Shield-Abkommens
Die Neuerungen bzw. Verbesserungen, die Privacy Shield gegenüber Safe Harbor hat, sehen folgendermaßen aus:
1. Es gibt ab jetzt strenge Auflagen für Unternehmen, die Daten verarbeiten: Sie verpflichten sich, Daten von EU-Bürgern nur so lange zu speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind".
Ob diese und weitere Auflagen auch tatsächlich erfüllt werden soll das US-Handelsministerium überwachen. Es erstellt eine Liste der Unternehmen, die sich dem Privacy Shield freiwillig unterwerfen und wird diese Liste regelmäßig überprüfen und aktualisieren, um die Einhaltung der Auflagen zu sicherzustellen. Bei Nichteinhaltung der Regeln müssen Unternehmen mit Sanktionen und Streichung von der Liste rechnen.
2. Zum anderen soll es nun klare Schutzvorkehrungen und Transparenzpflichten beim Datenzugriff durch US-Behörden geben. Der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit soll nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein. In diesem Zug haben die USA zugesichert, dass es keine sog. bulk collection, also keine unterschiedslose Massenüberwachung und Sammlung von Daten von EU-Bürgern mehr geben soll, sondern diese nur noch auf bestimmte Fälle begrenzt werden soll, unter Einhaltung bestimmter Voraussetzungen. Sie soll demzufolge nur möglich sein, wenn eine gezielte Überwachung von Einzelnen nicht möglich ist.
3. Wer sich dennoch zu Unrecht überwacht fühlt, kann seine Beschwerde bei einer unabhängigen Ombudsperson im US-Außenministerium einreichen, die speziell hierfür eingerichtet wurde, sofern die Rechtschutzbegehren den Bereich der nationalen Sicherheit betreffen. Diese Stelle soll letztlich entscheiden, ob ein EU-Bürger auf Basis der US-Gesetze rechtmäßig überwacht wurde. Die Beurteilung soll "objektiv und frei von unangemessenem Einfluss, der einen Einfluss auf seine Antwort haben könnte" vorgenommen werden. Was jedoch ein "unangemessener Einfluss" wäre, darüber schweigen die Unterlagen.
4. In allen anderen Bereichen außer der nationalen Sicherheit stehen dem EU-Bürger mehrere Möglichkeiten offen, wenn er der Meinung ist, dass seine Daten unrechtmäßig überwacht wurden. Im Idealfall wird sich das Unternehmen selbst um die Beschwerde kümmern. Alternativ kann auch auf ein kostenloses Verfahren zur Streitbeilegung ausgewichen werden. Der einzelne Bürger kann sich auch an seine nationale Datenschutzbehörde wenden, die dann in Zusammenarbeit mit der Federal Trade Commission darum kümmern wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren.
5. Zuletzt soll Privacy Shield einmal jährlich gemeinsam von der Europäischen Kommission und dem US-Handelsministerium überprüft und ggf. angepasst werden.
Wie geht es weiter?
Wenn die Unternehmen Gelegenheit hatten, im Hinblick auf die Einhaltung der Regeln des Privacy Shield Anpassungen in ihrer Datenübertragung vorzunehmen, können sie sich ab dem 1. August vom Handelsministerium eine entsprechende Bescheinigung ausstellen lassen.
Zugleich wird die Kommission einen Bürger-Leitfaden zur Erläuterung der Rechtsbehelfe veröffentlichen, die eingelegt werden können, wenn eine Einzelperson der Auffassung ist, dass bei der Verwendung der sie betreffenden personenbezogenen Daten die Datenschutzvorschriften nicht berücksichtigt wurden.
Kritik
Die Kritiker bemängeln jedoch, dass das Privacy-Shield-Abkommen nichts an der Überwachungspraxis der USA ändere. Aus diesem Grund kann auch nicht im Ansatz von einem sicheren Datenschutzniveau gesprochen werden. So sei das Institut der Ombudsperson machtlos und die Einspruchsmöglichkeiten für EU-Bürger in den USA in der Praxis stark beschränkt. Überschattet wird dies zusätzlich von der Tatsache, dass sich US-Unternehmen nicht an die Prinzipien von Privacy Shield halten müssen, wenn diese mit US-Gesetzen kollidieren.
PDF Download:
Unsere PDF Datei zum herunterladen
Autor: Rechtsanwalt Sascha Leyendecker ist Fachanwalt für Urheber- und Medienrecht und Gewerblichen Rechtsschutz in der Kanzlei JuS in Augsburg. Er ist Mitglied in der Deutsch-Schweizerische Juristenvereinigung e.V.