Ihr Kontakt
Am 2. Februar 2016 hat die EU Kommission bekannt gegeben, dass mit den USA eine Einigung über eine Regelung zum transatlantischen Datentransfer erzielt werden konnte. Dieses neue Regelwerk wurde notwendig, weil der EuGH mit Urteil vom 6. Oktober 2015 das bestehende EU-US Safe Harbor-Abkommen für ungültig erklärt hat (siehe hierzu BR-News vom 8. Oktober, 28. Oktober und 2. November 2015). Der genaue Wortlaut der Privacy Shield-Regelungen ist noch nicht bekannt. Trotzdem ist die neue Regelung von politischer Seite und auch von Seiten der Datenschutzbehörden bereits stark unter Druck geraten. Es ist die Rede davon, dass sich die EU-Kommission wieder einmal von den USA über den Tisch habe ziehen lassen. Begrüsst wird die neue Regelung dagegen von Industrieverbänden, welche sich rasch möglichst wieder Rechtssicherheit im transatlantischen Datentransfer erhoffen.
Unterschiedliche Kommunikation des neuen Regelwerks durch EU und USA: Auch unterschiedliches Verständnis?
Wie bereits erwähnt, ist der genaue Wortlaut und Inhalt der Regelungen noch nicht öffentlich bekannt. Die Informationen stützen sich daher auf die Pressemitteilungen der EU-Kommission vom 2. Februar 2016 sowie die Stellungnahme des US Department of Commerce vom selben Tag ab.
Die Pressemitteilung der EU-Kommission hört sich hierbei im Gegensatz zur amerikanischen Stellungnahme beinahe schon überschwänglich an – was mitunter zur verbreiteten Skepsis geführt haben dürfte.
So wird von der EU-Kommission festgehalten, dass „this new framework will protect the fundamental rights of Europeans where their data is transferred to the United States (…)“. Weiter wird festgehalten, dass „For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms.“
In der US Stellungnahme hören sich diese binding assurances schon ein bisschen allgemeiner an. Es wird dort vielmehr darauf verwiesen, dass Präsident Obama sich seit 2013 dafür eingesetzt habe, dass Datenschutzfragen bei den Überwachungsmassnahmen der US-Behörden besser berücksichtigt würden. Richtigerweise wird in der Stellungnahme darauf hingewiesen, dass sich diese Bemühungen bis anhin noch nicht in einer entsprechenden Gesetzgebung abgebildet haben bzw. entsprechende Gesetze erst noch implementiert werden müssen. Zudem ist darauf hinzuweisen, dass einzelne dieser Massnahmen von Präsident Obama gestützt auf Presidential Policy Directives erfolgten, welche vom Nachfolger von Präsident Obama jederzeit rückgängig gemacht werden können. Des Weiteren ist in der US-Stellungnahme nirgends die Rede von „binding assurances“. Vielmehr wird festgehalten, dass „the U.S. Intelligence Community has described in writing for the European Commission multiple layers of constitutional, statutory, and policy safeguards that apply to its operations, (…).“ Ganz schwammig wird die U.S.-Stellungnahme betreffend die Rechtsbehelfe von Personen, welche von Überwachungsmassnahmen betroffen sind – die EU-Kommission bezeichnet diese Rechtsbehelfe als Meilenstein. Privacy Shield würde den betroffenen Personen zum ersten Mal einen spezifischen Kanal bieten, um Fragen betreffend Überwachungsaktivitäten zu stellen. Die USA habe hierbei die Zusicherung abgegeben, „to respond to appropriate requests regarding these matters, consistent with our national security obligations.“ Der Rechtsbehelf ist damit von einigen Vorbehalten begleitet („appropriate requests“ und „consistent with our national security obligations“).
Kernelemente des Privacy Shield-Regelwerkes
Der Pressemitteilung der EU-Kommission lassen sich die folgenden Kernelemente von Privacy Shield entnehmen:
- Strenge Pflichten für Unternehmen, welche Personendaten von EU-Bürgern bearbeiten, sowie eine strenge Durchsetzung der Regeln: Entsprechende Pflichten zur Einhaltung von Datenbearbeitungsgrundsätzen bestanden bereits unter dem Safe Harbor-Framework. Neu ist dagegen, dass die Einhaltung der Regeln vom U.S. Department of Commerce viel stärker überwacht werden soll. Verletzungen können von der U.S. Federal Trade Commission sanktioniert werden. Zusätzlich müssen sich Unternehmen, welche Personendaten von EU-Bürgern unter dem Privacy Shield-Regelwerk importieren und bearbeiten wollen, den Entscheiden der zuständigen europäischen Datenschutzbehörden unterwerfen.
- Klare Sicherheitsvorkehrungen und Transparenzpflichten betreffend den Zugang durch U.-Behörden: Wie bereits erwähnt, hätten die U.S.-Behörden zum ersten Mal verbindliche, schriftliche Zusicherungen abgegeben, dass solche Zugriffe auf Personendaten klaren Einschränkungen, Sicherheitsvorkehrungen und Kontrollmechanismen unterworfen seien. Zugriffe sollen nur zulässig sein, falls sie notwendig und verhältnismässig seien. Um die Effektivität der Regeln in diesem Bereich sicherzustellen, soll ein jährlicher Joint Review abgehalten werden.
- Effektiver Schutz der Rechte von EU-Bürgern durch verschiedene Rechtsbehelfe: Falls ein Bürger der Meinung ist, dass die Privacy Shield-Regelung im Zusammenhang mit seinen Personendaten nicht eingehalten wurde, sollen im neu verschiedene Rechtsbehelfe zur Verfügung stehen. Privacy Shield sieht vor, dass datenbearbeitende Unternehmen entsprechende Beschwerden innert einer bestimmten Frist beantworten müssen. Zudem können europäische Datenschutzbehörden entsprechende Beschwerden an das Department of Commerce bzw. die Federal Trade Commission weiterleiten. Des Weiteren sind kostenlose alternative Streitbeilegungsverfahren vorgesehen. Zuletzt wird für Beschwerden im Zusammenhang mit dem Zugriff auf Personendaten durch U.S.-Behörden eine neue Ombudsstelle geschaffen.
Wie bereits erwähnt, sind diese Kernelemente des neuen Regelwerks bereits unter massive Kritik von Bürgerrechtlern geraten. Die Bürgerrechtler sind vor allem skeptisch, ob die USA all die gemachten Zusicherungen betreffend Überwachungsmassnahmen auch einhalten, wenn es ernst gilt. Die Lösung mit der Ombudsstelle für Beschwerden betreffend Behördenzugriffe stärkt hierbei das Vertrauen in die Ernsthaftigkeit der Zusicherungen sicherlich nicht.
Nächste Schritte
Das Kollegium der EU-Kommissionsmitglieder hat am 2. Februar 2016 den Vizepräsidenten Ansip und das Kommissionsmitglied Jourova mit der Ausarbeitung einer „Adequacy Decision“ beauftragt. Bei der „Adequacy Decision“ geht es darum, dass die EU-Kommission prüft und entscheidet, ob das Privacy Shield-Regelwerk ein ausreichendes Datenschutzniveau im Sinne der EU-Datenschutzrichtlinie sicherstellt. Diese Entscheidung soll in den nächsten drei Wochen vorbereitet werden.
Die entsprechenden Unterlagen werden dann in die Vernehmlassung durch die Artikel 29 Working Party – ein Kollegium mit Vertretern aller nationalen europäischen Datenschutzbehörden – und ein aus Vertretern der Mitgliedstaaten bestehendes Kollegium geschickt.
Parallel zu den Schritten in der EU muss die USA damit beginnen, dass neue Regelwerk, Kontrollmechanismen und die neue Ombudsstelle zu implementieren.
Es muss damit gerechnet werden, dass die Annahme des Privacy Shield-Regelwerkes in der EU nicht so einfach von statten gehen wird. Darauf lassen Stellungnahmen von europäischen Datenschützern schliessen. Man könne im Moment noch nicht sagen, ob das Privacy Shield-Regelwerk den EU-Anforderungen an den Datenschutz genügen würde. Die europäischen Datenschützer wurden nicht in die Verhandlungen miteinbezogen und erst in letzter Minute überhaupt konsultiert. Die europäischen Datenschützer rechnen damit, dass sie ihre Prüfung des Privacy Shield-Regelwerkes nicht vor Mitte April 2016 abschliessen werden.
Der Bürgerrechtsaktivist Schrems, welcher mit seiner Beschwerde das Safe Harbor-Framework ausser Kraft setzte, hat auf seiner Webseite bereits mal angekündigt, dass der EuGH notfalls auch Privacy Shield wieder prüfen werden müsse. Aufgrund der wenigen bekannten Informationen zum Regelwerk sei zu befürchten, „dass dieser «Deal» einfach nur ein Roundtrip zum EuGH nach Luxemburg ist.“
Bis auf weiteres dürfte sich daher für die Unternehmen die erhoffte Rechtssicherheit noch nicht ergeben. Den Unternehmen ist weiterhin zu raten, Personendaten gestützt auf alternative Massnahmen, wie z.B. die EU-Standardvertragsklauseln, in die USA zu transferieren. In der Stellungnahme zu Privacy Shield hat die Vertreterin der europäischen Datenschützer klar festgehalten, dass Safe Harbor trotz der laufenden Bemühungen um ein Nachfolgeabkommen für EU-Unternehmen nicht mehr gelte und die Umstellungsfrist nunmehr abgelaufen sei.
Weitere Informationen:
- BR-News vom 8. Oktober 2015: EuGH erklärt Safe Harbor-Regelung mit USA für ungültig
- BR-News vom 28. Oktober 2015: Update-Safe Harbor ist auch in der Schweiz nicht mehr ausreichend – zusätzliche Massnahmen notwendig
- BR-News vom 2. November 2015: FAQ – Auswirkungen des EuGH-Urteils zum Safe Harbor-Abkommen (Schweiz & Deutschland)
- Pressemitteilung der EU-Kommission vom 2. Februar 2016 betreffend Privacy Shield-Regelwerk
- Heise Online vom 3. Februar 2016: «Privacy Shield»: Bürgerrechtler schiessen scharf gegen geplanten Datenschutzschild
- Heise Online vom 3. Februar 2016: Nach Safe Harbor: Europas Datenschützer müssen Privacy Shield noch prüfen
- Stellungnahme von Maximilan Schrems: «EU-U.S. Privacy Shield» (Safe Harbor 1.1): European Commission may be issuing a round-trip to Luxembourg
Ansprechpartner: Michael Reinle & Lukas Bühlmann