Update Privacy Shield: Europäische Datenschützer sind skeptisch

Nachdem die EU-Kommission am 29. Februar 2016 die verschiedenen Privacy Shield-Dokumente veröffentlicht hat, äußerte sich letzte Woche die sog. Artikel 29-Arbeitsgruppe – ein Gremium bestehend aus Vertretern der verschiedenen nationalen Datenschutzbeauftragten der EU-Mitgliedsstaaten – zum Nachfolger des Safe Harbor Frameworks. Die Datenschützer sehen zwar durchaus nennenswerte Bemühungen zu einem verbesserten Schutz von Personendaten in den USA, sind jedoch skeptisch betreffend mögliche Zugriffe durch US-Intelligence Services. Die Artikel 29-Arbeitsgruppe ist der Meinung, dass Nachbesserungen notwendig sind.

  
Was ist das EU-U.S. Privacy Shield Framework genau?

Das EU-U.S. Privacy Shield Framework soll den Datentransfer von in der EU erhobenen Personendaten an Unternehmen in den USA erleichtern. Nach EU-Datenschutzrecht verfügt die USA nicht per se über ein ausreichendes Datenschutzniveau. Das EU-U.S. Privacy Shield soll sicherstellen, dass US-Unternehmen, welche sich dem Framework unterstellen, über ein ausreichendes Datenschutzniveau gewährleisten. An entsprechende Unternehmen in den USA können Personendaten aus der EU ohne zusätzliche Garantien transferiert werden. Das EU-U.S. Privacy Shield Framework löst hierbei das Safe Harbor Framework ab, welches vom EuGH für ungültig erklärt wurde (siehe hierzu u.a. BR-News vom 5. Februar 2016: EU-U.S. Privacy Shield – Befreiungsschlag oder Window Dressing?).

Am 29. Februar 2016 hat die EU-Kommission den Inhalt des Privacy Shield Frameworks mitsamt eines Entwurfes für eine sog. Adequacy-Erklärung – die Feststellung, dass mit dem Framework ein ausreichendes Datenschutzniveau im Sinne des EU-Datenschutzrechts sichergestellt wird – veröffentlicht. Aus diesen Unterlagen lässt sich der Inhalt des Privacy Shields besser erkennen und beurteilen. Das Privacy Shield Framework besteht aus folgenden Elementen:

  • Privacy Shield Principles: Es handelt sich dabei um verschiedene Datenbearbeitungsgrundsätze.
  • Verschiedene Briefe von US—Behörden, in welchen diese Zusicherungen betreffend die Umsetzung des vereinbarten Privacy Shield Frameworks abgeben. Einzelne Briefe enthalten vor allem auch Ausführungen zum bestehenden US-Recht und den bereits getroffenen Massnahmen zur Sicherstellung des Datenschutzes – insbesondere im Zusammenhang mit dem Zugang zu Personendaten durch Intelligence Services.

Welche Privacy Shield Principles gelten für zertifizierte US-Unternehmen?

Zunächst ist festzuhalten, dass die Zertifizierung von US-Unternehmen unter Privacy Shield freiwillig ist. Es handelt sich um eine Selbst-Zertifizierung. Die Einhaltung der Privacy Shield Principles ist dann allerdings zwingend.

Die Privacy Shield Principles sind in Annex II zum Schreiben des US Department of Commerce vom 23. Februar 2016 enthalten. Die Privacy Shield Principles umfassen einerseits allgemeine Datenbearbeitungsgrundsätze, befassen sich andererseits jedoch auch mit spezifischen Datenbearbeitungen, z.B. im Zusammenhang mit medizinischer Forschung und Entwicklung oder Human Resources-Daten.

Folgende Datenbearbeitungsgrundsätze sind hervorzuheben:

  • Notice Principle: Die zertifizierten Unternehmen unterliegen gewissen Informationspflichten gegenüber betroffenen Personen (z.B. welche Personendaten für welche Zwecke erhoben und bearbeitet werden). Hierzu müssen die Unternehmen Datenschutzerklärungen veröffentlichen. In diesen Erklärungen müssen sie auch auf die Privacy Shield-Webseite des Department of Commerce verlinken. Des Weiteren müssen die Unternehmen die betroffenen Personen über die Möglichkeit eines alternativen Streitbeilegungsverfahrens informieren und hierzu auf die Webseite der entsprechenden Stelle verlinken.
  • Choice Principle: Betroffene Personen müssen die Möglichkeit haben, der Weitergabe von Personendaten an Dritte zu widersprechen (opt-out). Ein Widerspruch muss auch möglich sein, wenn Personendaten für erheblich abweichende neue Zwecke bearbeitet werden sollen. Im Zusammenhang mit der Erhebung und Bearbeitung von besonders schützenswerten Daten ist eine ausdrückliche Zustimmung notwendig (opt-in). Spezielle Bestimmungen sind für Direktmarketing-Zwecke vorgesehen. Ein Opt-Out muss hier jederzeit möglich sein.
  • Security Principle: Unternehmen müssen angemessene technische und organisatorische Datensicherheitsmassnahmen implementieren.
  • Data Integrity and Purpose Limitation Principle: Es dürfen nur Personendaten erhoben und bearbeitet werden, die für den Bearbeitungszweck notwendig sind. Der Bearbeitungszweck, der im Zeitpunkt der Datenerhebung angegeben wurde, darf nicht ohne weiteres geändert oder ausgedehnt werden.
  • Access Principle: Hierbei geht es um die Auskunftsrechte der betroffenen Personen.
  • Accountability for Onward Transfer Principle: Es wird klargestellt, dass ein zertifiziertes Unternehmen beim Weitertransfer von Personendaten an Dritte weiterhin verantwortlich bleibt. Zertifizierte Unternehmen müssen vor dem Weitertransfer auf vertraglicher Basis sicherstellen, dass die Drittunternehmen die Principles ebenfalls einhalten.
  • Recourse, Enforcement and Liability Principle: Unternehmen sind verpflichtet, Prozesse für die Bearbeitung von Beschwerden durch betroffene Personen zu implementieren. Zudem müssen zertifizierte Unternehmen sich jedes Jahr neu zertifizieren.

Wie wird die Compliance mit den Privacy Shield Principles sichergestellt?

Die Einhaltung der Principles soll u.a. durch folgende Massnahmen sichergestellt werden:

  • Auf einer ersten Stufe sollen die betroffenen Personen sich bei Non-Compliance mit den Principles direkt beim zertifizierten Unternehmen beschweren. Hierzu müssen die Unternehmen in den Datenschutzerklärungen eine Kontaktstelle angeben. Beschwerden müssen innert 45 Tagen behandelt werden. Die betroffene Person hat Anrecht auf eine schriftliche und begründete Antwort.
  • Die betroffenen Personen können die Beschwerde jedoch auch bei ihrer nationalen EU-Datenschutzbehörde einreichen, welche diese an das Department of Commerce weiterleitet. Dort wird eine spezielle Kontaktperson für die Kooperation mit EU-Datenschutzbehörden bestellt. Das Department of Commerce leitet die Beschwerde sodann an das zertifizierte Unternehmen weiter. Das Department of Commerce kann auf solche Beschwerden hin auch ex officio Untersuchungen einleiten. Die nationalen EU-Datenschutzbehörden sollen vom Department of Commerce spätestens 90 Tage nach Weiterleitung der Beschwerde über den Status des Beschwerdeverfahrens orientiert werden.
  • Auf einer zweiten Stufe müssen die Unternehmen ein unabhängiges Streitbeilegungsverfahren zur Verfügung stellen, welches für die betroffenen Personen kostenlos ist. Diese Streitbeilegungsstellen müssen auf deren Webseiten Informationen zum Privacy Shield Framework und zum Verfahren bereitstellen. Diese Stellen müssen zudem einen Jahresbericht mit aggregierten Daten betreffend die Streitbeilegungsdienstleistungen veröffentlichen.
  • Falls ein Unternehmen sich nicht an Entscheide dieser Streitbeilegungsstellen halten sollte, muss die Stelle das Fehlverhalten dem US Department of Commerce oder der Federal Trade Commission melden.
  • Das Department of Commerce muss zudem regelmässig ex officio Compliance-Prüfungen bei zertifizierten Unternehmen durchführen.
  • Die Federal Trade Commission hat betreffend die ihr unterstellten zertifizierten Unternehmen zugesichert, dass Beschwerden betreffend Non-Compliance mit den Privacy Shield Principles prioritär behandelt werden. Beschwerden können die unabhängigen Streitbeilegungsstellen, das Department of Commerce, EU-Datenschutzbehörden sowie die betroffenen Personen einreichen.
  • Als „last resort“ ist eine Arbitration beim sog. Privacy Shield Panel vorgesehen. Die Arbitration wird entweder mit einem oder drei Schiedsrichtern nach akzeptierten US-Arbitration Rules, welche vom Department of Commerce und der EU-Kommission zu vereinbaren sind, durchgeführt.

Wie sieht es mit Zugriffen von US-Behörden auf Personendaten von EU-Bürgern aus?

Diese Frage ist sicherlich das Pièce de Résistance in den ganzen Diskussionen um Safe Harbor und nun Privacy Shield. Der EuGH hat das Safe Harbor-Framework vor allem deshalb als ungültig erklärt, weil die EU-Bürger bzw. deren Personendaten nicht vor massenhaftem Zugriff durch US-Behörden sicher seien. Insbesondere bei nachrichtendienstlichen Massnahmen würden die Grundrechte von Bürgern zu wenig berücksichtigt.

Der EuGH hat hier eine Baustelle eröffnet, welche nicht leicht zu lösen ist. Zudem sind die Vorwürfe des EuGH (und gewisser EU-Mitgliedstaaten) letztlich nicht sehr konsequent und bis zu einem gewissen Grad fadenscheinig.

Nachdem z.B. der Deutsche Bundesnachrichtendienst (BND) 2014 seine Überwachung des Fernmeldeverkehrs ausweitete – mit dem sinnigen Projektbegriff „Datenstaubsauger“ –, stieg der Umfang der abgefangenen Kommunikation erheblich an (25’209 in 2014 gegenüber 15’401 in 2013). Von dieser grossen Menge abgefangener Kommunikation erachtete der BND lediglich eine verschwindend kleine Zahl als nachrichtendienstlich-relevant (Heise.de vom 3. Februar 2016: BND – 2014 nahm Überwachung von Internet und Telefonnetz zu). Ob daher dieser Datenstaubsauger die Grundrechte der deutschen Bürger besser wahrt als US-Überwachungsmassnahmen sei dahingestellt. Auch die Schweiz sollte bei der Frage von Überwachungsmassnahmen nicht allzu stark mit dem Finger auf die USA zeigen. Soeben wurden die Überwachungsmöglichkeiten im Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs erheblich ausgebaut.

Mit Fragen des Zugriffs auf Personendaten für Zwecke der nationalen Sicherheit befasst sich Annex VI, ein Schreiben des Office of the Director of National Intelligence an das Department of Commerce vom 22. Februar 2016. Im Schreiben wird dargestellt, inwiefern die Rechte von Bürgern, inklusive EU-Bürgern, bei Überwachungsmassnahmen der US Intelligence Services gewährleistet werden. Die US Intelligence Services verpflichten sich mit einer Ausnahme nicht, neue Massnahmen oder Gesetze zu implementieren. Es wird lediglich beschrieben, was zum Schutz der betroffenen Personen bereits getan wird, und festgehalten, dass dies nach Ansicht der US-Behörden einen genügenden Schutz gewährleistet.

Den US-Behörden ist zuzugestehen, dass nach den Aufdeckungen durch Edward Snowden Massnahmen zum Schutz von Bürgern vor Überwachungen getroffen wurden. Erwähnt werden der Executive Order 12333 und vor allem die Presidential Policy Directive 28 („PPD-28), welche am 17. Januar 2014 erlassen wurde und sog. „signals intelligence operations“ regelt. PPD-28 sieht insbesondere vor, dass Überwachungsmassnahmen ausschliesslich für genau bestimmte Zwecke angeordnet werden dürfen. Darüber hinaus gilt das sog. Subsidiaritätsprinzip. Die Behörden müssen jeweils prüfen, ob weniger einschneidende Massnahmen zur Verfügung stehen. Sog. bulk collections, d.h. massenhafte Datenerhebungen, sind ebenfalls im PPD-28 geregelt und sollen gegenüber der targeted collection die Ausnahme darstellen. Datenerhebungen sollen gemäss PPD-28 „as tailored and as feasible as possible“ sein. Bei der Datenerhebung sollen daher sog. discriminants verwendet werden. Diese werden gemäss Informationen der US-Behörden nicht einfach durch die einzelnen Mitarbeiter festgelegt, sondern durch die verschiedenen involvierten Behörden.

Die Intelligence Services halten in ihrem Schreiben fest, dass sie „not engage in indiscriminate surveillance of anyone, including ordinary European citizens“. Die US-Behörden stellen auch fest – was von der EU-Kommission doch eher naiv als starke Zusicherung betrachtet wird –, dass bulk collections von Daten im Internet, welche durch die US-Behörden durchgeführt werden, lediglich eine kleine Portion des gesamten Internets umfassen würden.

Im Schreiben wird auch dargestellt, wie und durch welche Behörden die Intelligence Services beaufsichtigt und überwacht werden. Um hierbei Lücken zu schliessen, hat der Secretary of State, John Kerry, in einem Schreiben vom 22. Februar 2016 (Annex III) zugesichert, dass eine sog. Privacy Shield Ombudsperson bestellt werden soll. Betroffene Personen können bei einer noch zu bestimmenden EU-Stelle eine Beschwerde einreichen. Die EU-Stelle wird die Beschwerde an die Privacy Shield Ombudsperson weiterleiten. Die Ombudsperson wird die Beschwerde bearbeiten und die EU-Stelle sobald als möglich über die Untersuchung informieren. Zu beachten ist hierbei, dass die Ombudsperson die EU-Stelle und damit die betroffene Person nicht darüber informieren wird, ob die Person effektiv Gegenstand von Überwachungsmassnahmen war. Die Ombudsperson wird die EU-Stelle auch nicht darüber informieren, was für spezifische Massnahmen getroffen werden, falls eine Non-Compliance festgestellt wurde. Die Beschwerdemöglichkeit bei der Ombudsperson ist damit doch recht limitiert.

Wie weiter?

Während die EU-Kommission mit dem neuen Privacy Shield Framwork zufrieden ist, bleibt die Art. 29-Arbeitsgruppe skeptisch und verlangt Nachbesserungen.

Die Art. 29-Arbeitsgruppe hat am 13. April 2016 ihre Stellungnahme zum Data Privacy Shield Framework abgegeben (Statement of the Article 29 Working Party on the Opinion of the EU-U.S. Privacy Shield of 13 April 2016).

Materiell beanstandet die Art. 29-Arbeitsgruppe betreffend die Privacy Shield Principles, dass gewisse EU-Datenbearbeitungsgrundsätze nicht oder nicht genügend klar implementiert worden seien – so z.B. die Zweck-Limitierung oder Grundsätze betreffend die Aufbewahrungsdauer von Daten. Betreffend die vorgesehenen Rechtsbehelfe bei Non-Compliance von zertifizierten Unternehmen wird beanstandet, dass die Rechtbehelfe für die betroffenen Personen allenfalls zu komplex seien. Insbesondere müssten die betroffenen Personen die Rechtsbehelfe in englischer Sprache vorbringen. Zudem ist vorgesehen, dass sich die betroffenen Personen an ihre nationale Datenschutzbehörden wenden können, welche dann die Beschwerde an das Department of Commerce weiterleiten.

Die Hauptkritik der Art. 29-Arbeitsgruppe bezieht sich auf den Zugang zu Personendaten für Zwecke der nationalen Sicherheit. Die Aussagen der Intelligence Services seien zu wenig detailliert, um „massive and indiscriminate surveillance“ auszuschliessen. Es bestünde eine Tendenz, massenhaft Daten im Zusammenhang mit Terrorismusbekämpfung zu erheben – sagt Frau Falque-Pierrotin, ihres Zeichens Vorsitzende der Art. 29-Arbeitgruppe und Leiterin der französischen Datenschutzbehörde, d.h. einem Land, in welchem aktuell mit Notrecht gearbeitet wird.

Die Aussagen der US-Behörden sind zugegebenermaßen sehr vage und es kann gestützt darauf nicht abschliessend festgestellt werden, ob all die erwähnten Massnahmen auch wirklich eingehalten werden. Das Problem wird jedoch nicht dadurch gelöst, dass die Art. 29-Arbeitsgruppe – auf genauso wenig detaillierte und fundierte Art und Weise – Nachbesserungen verlangt. Es ist auch nicht so, dass die EU-Kommission die Problematik nicht erkannt hätte. Der Entwurf für die Adequacy-Erklärung sieht vor, dass dieser Entscheid regelmässig geprüft werden soll und die EU-Kommission auf ihren Entscheid zurückkommen muss, sobald sich Anhaltspunkte dafür ergeben, dass sich die US-Behörden nicht an die Zusicherungen und beschriebenen Rechtsbehelfe halten.

Die EU-Kommission möchte, im Juni 2016 eine finale Fassung der Adequacy Decision verabschieden. Nachher dürfte es eine Umsetzungsfrist geben, innert welcher auf Seiten der EU und der USA die verschiedenen Stellen und Rechtsbehelfsmechanismen implementiert werden müssen.

Inwiefern die von der Art. 29-Arbeitsgruppe verlangten Nachbesserungen bis dann implementiert werden können, ist unklar. Sehr wahrscheinlich werden sich die Anpassungen auf die Principles beschränken. Die US-Intelligence Services werden mit grosser Wahrscheinlichkeit keine Nachbesserungen mehr akzeptieren.

Datenschutzaktivisten haben bereits angekündigt, dass sie das Privacy Shield Framework gerichtlich überprüfen lassen werden, wenn keine erheblichen Verbesserungen mehr erfolgen.

Was bedeutet Privacy Shield für die Schweiz?

Aktuell verhandelt die USA ausschliesslich mit der EU über das Privacy Shield Framework. Dieses wird für die Schweiz nicht direkt anwendbar sein und schweizerische Unternehmen, die Personendaten in die USA liefern möchten, werden sich auch nach Inkrafttreten des Privacy Shield Frameworks für die EU in einer ersten Phase nicht auf Privacy Shield berufen können.

Aufgrund des bisherigen Verhaltens des Eidgenössischen Datenschutzbeauftragten (EDÖB) – man wartete die Entwicklungen in der EU ab und hoffte darauf, dass die EU mit der USA eine Lösung findet – dürfte die Schweiz relativ schnell nach Inkrafttreten des Privacy Shield für die EU versuchen, eine vergleichbare Regelung mit den USA zu finden. Die USA dürften bereit sein, das Privacy Shield Framework in praktisch identischer Form auf die Schweiz zu erstrecken, wie sie dies beim Safe Harbor Framework bereits getan haben. Die Verhandlungen müssten auf schweizerischer Seite wohl wieder vom Staatssekretariat für Wirtschaft (Seco) und vom EDÖB geführt werden.

Ein solches Vorgehen hat der EDÖB bereits in seinem Bericht und seiner Empfehlung an den Bundesrat vom 14. Oktober 2015 betreffend das damals vom EuGH für nicht ausreichend erklärte Safe Harbor Framework skizziert. Allerdings ist im betreffenden Bericht noch kein Zeitplan für die empfohlenen Verhandlungen mit den USA angegeben.

Weitere Informationen:

Ansprechperson: Michael Reinle