Bevollmächtigter des Rates der EKD

Safe-Harbor-Nachfolger: Datenschutzschild mit Löchern?

(Helen Abram)

Die Europäische Kommission und die Vereinigten Staaten haben sich auf einen neuen Rahmen für die transatlantische Datenübermittlung geeinigt: das EU-US Datenschutzschild (Privacy Shield).

Nachdem die Einigung bereits am 02. Februar 2016 bekannt gegeben wurde, hat die Europäische Kommission am 29. Februar 2016 nun die Dokumente zum Datenschutzschild nachgereicht und online zur Verfügung gestellt. Der Deal soll Verbesserungen beinhalten, die den Schutz übermittelter europäischer Daten in die USA sicherstellen.

Die neuen Regelungen lassen sich in vier Hauptgruppen unterteilen:

Künftig werden Unternehmen in den USA strengeren Auflagen zum Schutze personenbezogener Daten von EU-Bürgern unterliegen und das US- Handelsministerium sowie die Federal Trade Commission (FTC) werden zu intensiveren Kontroll- und Durchsetzungsmaßnahmen verpflichtet sein. Alle Unternehmen, die mit europäischen Personaldaten arbeiten, müssen sich dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden nachzukommen. Darüber hinaus enthält das Datenschutzschild neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht von Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben, oder von deren Dienstleistern verarbeitet werden, sei es in Drittstaaten oder an Unternehmen außerhalb des Rahmenabkommens.

Ferner wird es Vorgaben zur verstärkten Zusammenarbeit mit europäischen Datenschutzbehörden geben. Die US-Regierung hat erstmals schriftlich zugesagt, dass die Möglichkeit des Zugriffs auf personenbezogene Daten durch Behörden nach amerikanischem Recht an klare Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gekoppelt sein wird. Massenhaft erfasste Daten sollen demnach nur für sechs spezifische Fälle gebraucht werden dürfen. Unter anderem zur Bekämpfung des Terrorismus, zur Bekämpfung der Verbreitung von Massenvernichtungswaffen und zu Zwecken der Cybersicherheit.

Eine jährliche gemeinsame Überprüfung, welche das US-amerikanische Handelsministerium und die EU-Kommission gemeinsam durchführen werden, dient zur Beobachtung der Umsetzung dieser Verpflichtung. Sollte sich hierbei herausstellen, dass die Vereinbarungen nicht eingehalten wurden, besteht die Möglichkeit, die Vereinbarung zu suspendieren. Für Beschwerden bezüglich des Zugriffes nationaler Nachrichtendienste wird eine neue und von den Geheimdiensten unabhängige Ombudsstelle eingerichtet. Die Stelle wird mit Catherine A. Novelli besetzt, Unterstaatssekretärin im Außenministerium. Außerdem wird Novelli für die Entgegennahme von Beschwerden von ausländischen Regierungen hinsichtlich amerikanischer Funkaufklärung zuständig sein.

Auch beim Rechtsbehelfsverfahren gibt es Neuerungen: Jedem Bürger, der der Auffassung ist, dass seine Daten im Rahmen der neuen Regelungen unzulässig verwendet werden, stehen mehrere Rechtsbehelfsverfahren zur Verfügung. Unternehmen müssen Beschwerden innerhalb einer Frist von 45 Tagen bearbeiten. Die europäischen Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die FTC weiterleiten und es gibt ein kostenloses Verfahren zur alternativen Streitbeilegung. Werden die neuen Regelungen nicht eingehalten, können Sanktionen gegen das Unternehmen eingeleitet werden, z. B. der Ausschluss aus dem Datenschutzabkommen. Als letztes Mittel wird es ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch geben.

Zusammenfassend bedeutet das neue Datenschutzabkommen für amerikanische Unternehmen, dass sie jährlich bestätigen müssen, die Anforderungen des Datenschutzschildes zu erfüllen. Außerdem müssen sie künftig die Datenschutzerklärung auf ihrer Website ausstellen und umgehend auf Beschwerden antworten. Bei der Verarbeitung von personenbezogenen Daten, müssen sie mit europäischen Datenschutzbehörden zusammenarbeiten und ihren Auflagen nachkommen.

Für EU-Bürger soll das Datenschutzschild mehr Transparenz über den Vorgang der Datenübermittlung in die USA und einen verbesserten Datenschutz mit sich bringen. Außerdem soll das Abkommen einfachere und kostengünstigere Möglichkeiten für Schadensersatz im Falle von Beschwerden bereithalten, die entweder direkt oder mit der Hilfe örtlicher Datenschutzbehörden in Anspruch genommen werden können.

Ein neuer Rechtsrahmen war dringend notwendig geworden, nachdem der Gerichtshof der Europäischen Union (EuGH) am 06. Oktober 2015 die sogenannte Safe-Harbor-Entscheidung der Kommission, und damit die bisherige Praxis der Datenübermittlung, für ungültig erklärt hatte (EKD Europa-Information Nr. 150).

Kritiker aus den Reihen der Progressiven Allianz der Sozialdemokraten (S&D), der Allianz der Liberalen und Demokraten für Europa (ALDE) und der Grünen/Europäische Freie Allianz (EFA) befürchten, der neue Datenschutzdeal werde die Probleme von Safe-Harbor nicht beheben. Genügten die Sicherheitsmaßnahmen nicht den Anforderungen des EuGH, sei auch in Zukunft von einer Vielzahl von Gerichtsverhandlungen auszugehen und der Deal würde den gleichen Weg gehen wie Safe-Harbor. Gerade bei der zentralen Frage des Zugriffs auf übermittelte europäische Daten durch US-Sicherheitsbehörden, verließe sich die EU-Kommission auf bloße Absichtserklärungen. Zudem bestünden Zweifel, ob ein Ombudsmann tatsächlich in der Lage sein werde, amerikanische Geheimdienste zu überwachen. Jan Philipp Albrecht, Europaabgeordneter der Grünen, erkannte in dem neuen Abkommen lediglich eine „kosmetische Verbesserung“ und forderte, die Gültigkeit des Datenschutzschildes angesichts der Unzulänglichkeiten auf zwei Jahre zu beschränken.

Max Schrems, Datenschutzaktivist, kritisierte ebenfalls, das neue Datenschutzschild werde die Probleme der Massenüberwachung und des Fehlens eines US-Datenschutzes nicht beheben. Die sechs erlaubten Gründe für die Massenüberwachung nannte er „keine rationale Umsetzung der Gesetze und des EuGH-Urteils“. Er kündigte bereits an, gegen das Datenschutzschild, sollte es sich so durchsetzten – wie schon gegen die Safe-Harbor-Entscheidung der Kommission – klagen zu wollen.

Die Kommission hat außerdem einen Entwurf eines sogenannten Angemessenheitsbeschlusses angenommen, der feststellt, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Nach einer Stellungnahme der Art. 29-Datenschutzgruppe, eines unabhängig beratendenden Gremiums bestehend aus Vertretern aller Datenschutzbehörden der Mitgliedsstaaten, der Europäischen Kommission sowie dem Europäischen Datenschutzbeauftragten, und nach Anhörung eines Ausschusses, bestehend aus Vertretern der Mitgliedsstaaten, wird das Kollegium der Kommission abschließend über die Annahme des Datenschutzschildes entscheiden. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle.

Die Mitteilung der Europäischen Kommission fin- den Sie in englischer Sprache unter:
http://ekd.be/EC_US_Datenaustausch_Datenschutz

erweiterte Suche