EU-U.S. Privacy Shield: Was regelt der Entwurf des transatlantischen Datenschutzschutzschildes?

activeMind AG - der Entwurf des EU-U.S. Privacy Shield

Nachdem die EU-Kommission Anfang Februar erklärte, mit dem EU-U.S. Privacy Shield einen Ersatz für das ungültige Safe-Harbor-Abkommen gefunden zu haben (activeMind berichtete), legte die Behörde am 29. Februar 2016 erste schriftliche Entwürfe vor. Dem Anschein nach handelt es sich bei den Neuregelungen eher um eine Fortsetzung von Safe Harbor mit unverbindlichen Zusagen der USA, als um ein neues, für beide Seiten verbindliches Regelwerk, z. B. in Form eines Vertrages.

EU-U.S. Privacy Shield als neue datenschutzrechtliche „Adäquanz“-Entscheidung

Zur Erinnerung: Unternehmen, die unter dem alten Safe-Harbor-Abkommen zertifiziert waren, bestätigten, dass sie ein ausreichendes („adäquates“), dem der EU entsprechendes Niveau des Datenschutzes einhielten. An diesem Grundprinzip wird sich durch das EU-U.S. Privacy Shield nicht viel ändern. Unternehmen können sich weiterhin selbst unter dem EU-U.S. Privacy Shield zertifizieren und gelten fortan als sicheres Unternehmen, mit dem europäische Unternehmen Daten austauschen können. Immerhin sollen Zweck und Nutzen des neuen Abkommens sowie die Einhaltung der Regeln durch zertifizierte Unternehmen jährlich von Vertretern beider Seiten und Datenschützern überprüft werden.

Verbesserte Kontrollen und Durchsetzbarkeiten des Datenschutzes

Im Rahmen des neuen Abkommens geht es also auch darum, die staatlichen Kontrollen des EU-U.S. Privacy Shield zu verbessern. Außerdem sollen Betroffene das Recht eingeräumt bekommen, ihre Rechte auch in den USA durchsetzen zu können. Die Grundidee ist zunächst ähnlich wie hierzulande: Betroffenenrechte (also Auskunfts-, Korrektur-, Lösch- und Sperrrechte) sollen direkt beim datenverarbeitenden Unternehmen geltend gemacht werden.

Sollte das nicht zielführend sein und das Unternehmen nicht innerhalb von 45 Tagen Auskunft geben, kommt laut den Dokumenten folgendes in Betracht:

  • Einschaltung der eigenen (nationalen) Datenschutzaufsichtsbehörde, die sich des Falles annimmt;
  • Eröffnung eines (kostenlosen) Schiedsverfahrens oder
  • Einschaltung eines eigens dafür ernannten Ombudsmannes im US-Außenministerium.

Kontrolle der Datenerfassung durch Geheimdienste bleibt fragwürdig

Weniger optimistisch stimmen allerdings die Ausführungen zur massenhaften Datenverarbeitung durch US-Geheimdienste – nicht umsonst das Herzstück der EuGH-Entscheidung, die das Safe Harbor Abkommen für unwirksam erklärte. Während die EU-Kommission noch euphorisch ankündigte, dass dies nicht mehr möglich sein wird, sprechen die veröffentlichten Dokumente zum EU-U.S. Privacy Shield eine andere Sprache. So soll eine massenhafte Datenüberwachung nur noch in sechs zweckgebundenen Fällen erlaubt sein, die zwar auch jährlich überprüft werden, allerdings von Geheimdienstmitarbeitern selber:

  • um „bestimmten“ Aktivitäten ausländischer Mächte vorzubeugen und ihnen zu begegnen;
  • zur Bekämpfung des Terrorismus;
  • zur Bekämpfung der Verbreitung von Atom- und anderen Massenvernichtungswaffen;
  • zur Wahrung der Cybersicherheit;
  • um Bedrohungen gegen US-Streitkräfte oder verbündeter Streitkräfte vorzubeugen und ihnen zu begegnen;
  • zur Bekämpfung krimineller Bedrohungen, einschließlich der Umgehung von Sanktionen.

Angesichts dieser Liste vager Zweckbestimmungen für massenhafte Datenüberwachung bleibt abzuwarten, ob das EU-U.S. Privacy Shield einer Überprüfung durch den Europäischen Gerichtshof standhält oder ob die EU sich in ein paar Jahren erneut damit beschäftigen muss. Dass die Liste von Geheimdienstmitarbeitern jährlich überprüft werden soll, hilft da sehr wahrscheinlich nicht. Derzeit wird der Entwurf jedenfalls erst einmal von den einzelnen Mitgliedsstaaten und Europas höchstem Datenschutzgremium, der Artikel-29-Datenschutzgruppe, unter die Lupe genommen.

Bedeutung des EU-U.S. Privacy Shield für Unternehmen

Für Unternehmen hingegen lässt sich dagegen sagen, dass es so aussieht, als ob das derzeitige Dilemma bei Datentransfers in die USA bald erst einmal der Vergangenheit angehört. Es ist davon auszugehen, dass bereits unter Safe Harbor zertifizierte Unternehmen in den USA auch unter dem EU-U.S. Privacy Shield zertifiziert bleiben, so dass sich insofern nicht viel ändern wird.

Eine interne Richtlinie zur Einführung der Betroffenenrechte sollte für US-amerikanische Unternehmen schnell umsetzbar sein. Alle anderen oben angesprochenen Maßnahmen zur Durchsetzung der Rechte von Betroffenen müssen von Behörden der EU oder USA umgesetzt werden, also etwa die Möglichkeit des Schiedsverfahrens, die Einbindung der nationalen Datenschutzaufsichtsbehörden und die Anrufung des Ombudsmannes.

Fazit: EU-U.S. Privacy Shield ist nur die Grundlage

Auch wenn es das EU-U.S. Privacy Shield den Datentransfer in die USA wieder in einigermaßen ruhige Gewässer steuern wird, so sollte weiterhin der internationale Datentransfer von Unternehmen gut geprüft werden. Die neuen Regeln helfen nicht darüber hinweg, dass der Datentransfer (wie schon unter Safe Harbor) auf einer Rechtsgrundlage beruhen und den gängigen Datenschutzprinzipien entsprechen muss.

Bitte bewerten Sie diese Inhalte!
[8 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.