EU-US Privacy Shield – Alle Fragen offen?

Nachdem das, seit dem Jahr 2000 bestehende, Safe-Harbor-Abkommen im vergangenen Jahr (Oktober 2015) vom Europäischen Gerichtshof (EuGH) im Schrems Urteil (AZ.: C-362/14) für ungültig erklärt wurde, soll nun das EU-U.S. Privacy Shield an dessen Stelle treten und den Transfer personenbezogener Daten von Unternehmen zwischen der EU und den USA regeln.

Stellungnahme des Europäischen Datenschutzbeauftragten

Der Europäische Datenschutzbeauftragte (EDSB, englisch European Data Protection Supervisor) veröffentlichte am 30. Mai 2016 hierzu eine Stellungnahme zum EU/U.S. Privacy Shield (Opinion 4/2016 on the EU-U.S. Privacy Shield draft adequacy decision).

Kritik an das Abkommen

Der EDSB kristisiert vor allem darin, dass wesentliche Verbesserungen („significant improvements“), weitere Zusicherungen („additional reassurences“) und angemessene Schutzmaßnahmen („appropriate safeguards“) notwendig seien, wenn das Abkommen vor der Europäischen Kommission bestehen will. Die EU ist zur Gewährleistung der Rechte auf Privatsphäre und Datenschutz jedes einzelnen EU-Bürgers auf Grundlage von Verträgen und der Charta des Grundrechts verpflichtet.

Kein effektiver Rechtsschutz vor Massenüberwachung

Eine allgemeine Verbesserung im Gegensatz zur früheren Regelung erkennt er zwar an, allerdings bieten die weitgehend unklaren Formulierungen keinen effektiven Schutz gegen die massenhafte Sammlung und Überwachung persönlicher Daten. Grund für Bedenken gibt ihm der Überwachungsskandal der EU-Bürger durch US-Geheimdienste, der 2013 ans Licht kam. Es stellte sich heraus, dass der Safe-Harbor Lücken aufwies, die eine solche Überwachung erst ermöglichte. Daher gilt es hier hinreichend vor einer willkürlichen Massenüberwachung zu schützen. Zumindest müssen die wichtigsten Grundsätze klar und prägnant identifiziert werden können, so dass sich daraus für den Betroffenen auch ein wirksamer Rechtsschutz bietet. Weiterhin ist eine Kontrollaufsicht, Transparenz, Gewährleistung von Datenschutzrechten und nachträgliche Korrekturmöglichkeit nötig. Das Privacy Shield dagegen vertraut auf die Selbstkontrolle der Unternehmer und Behörden.

Fehlende Begründung für den Datenzugriff

Der EDSB bemängelt auch, dass auf die Notwendigkeit und die Verhältnismäßigkeit des Zugriffs auf persönliche Daten eingegangen werden muss statt lediglich den legalisierten routinierten Zugriff auf die jeweiligen Daten darzustellen. So wie auch andere Nicht-EU-Länder, haben die USA ebenso den Datenschutz und die Privatsphäre nach Maßgabe des EU-Rechts zu beachten.

Trotz Besserungen, Bedenken bleiben

Die Verbesserungen bei Schutzmechanismen für Datenschutzrecht, der Grundsatz der Verhältnismäßigkeit und die Selbstzertifizierung stellen lediglich kurzfristige Lösungen dar. Für eine langfristige Lösung genügt das Abkommen in seiner jetzigen Form nicht den europäischen Anforderungen.

Datenschützer, wie die Artikel-29-Datenschutzgruppe, befürchten, dass durch die neue Regelung keine Änderungen eintreten und weiterhin eine flächendeckende und anlasslose Überwachung der EU-Bürger stattfindet (so in der Stellungnahme vom 13. April 2016).

Giovanni Butarelli, Stellvertreter der EDSB, stellt zudem ausdrücklich klar: „In der EU diskriminieren wir nicht auf Basis der Nationalität“. Insbesondere gab Anlass zur Sorge, die Frage nach der Unabhängigkeit des sog. Ombudsmanns in den USA, der Beschwerden der EU-Bürger regeln soll, und die zweckgebundene Verarbeitung von Daten (zu Zwecken der Strafverfolgung, der nationalen Sicherheit und des öffentlichen Interesses).

Im Anschluss an die Zusammenfassung spricht die EDSB konkrete Empfehlungen für den Privacy Shield aus („main recommondations“ und „additional recommondations“).

Nach entsprechenden Verhandlungen tritt nun am 12. Juli das Privacy Shield offiziell in Kraft.

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.