Update Privacy Shield

EU-U.S. Privacy Shield: Befreiungsschlag oder Window Dressing?


Ihr Kontakt

Am 2. Februar 2016 hat die EU Kommission bekannt gegeben, dass mit den USA eine Einigung über eine Regelung zum transatlantischen Datentransfer erzielt werden konnte. Dieses neue Regelwerk wurde notwendig, weil der EuGH mit Urteil vom 6. Oktober 2015 das bestehende EU-US Safe Harbor-Abkommen für ungültig erklärt hat (siehe hierzu BR-News vom 8. Oktober, 28. Oktober und 2. November 2015). Der genaue Wortlaut der Privacy Shield-Regelungen ist noch nicht bekannt. Trotzdem ist die neue Regelung von politischer Seite und auch von Seiten der Datenschutzbehörden bereits stark unter Druck geraten. Es ist die Rede davon, dass sich die EU-Kommission wieder einmal von den USA über den Tisch habe ziehen lassen. Begrüsst wird die neue Regelung dagegen von Industrieverbänden, welche sich rasch möglichst wieder Rechtssicherheit im transatlantischen Datentransfer erhoffen.

Unterschiedliche Kommunikation des neuen Regelwerks durch EU und USA: Auch unterschiedliches Verständnis?

Wie bereits erwähnt, ist der genaue Wortlaut und Inhalt der Regelungen noch nicht öffentlich bekannt. Die Informationen stützen sich daher auf die Pressemitteilungen der EU-Kommission vom 2. Februar 2016 sowie die Stellungnahme des US Department of Commerce vom selben Tag ab.

Die Pressemitteilung der EU-Kommission hört sich hierbei im Gegensatz zur amerikanischen Stellungnahme beinahe schon überschwänglich an – was mitunter zur verbreiteten Skepsis geführt haben dürfte.

So wird von der EU-Kommission festgehalten, dass „this new framework will protect the fundamental rights of Europeans where their data is transferred to the United States (…)“. Weiter wird festgehalten, dass „For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms.“

In der US Stellungnahme hören sich diese binding assurances schon ein bisschen allgemeiner an. Es wird dort vielmehr darauf verwiesen, dass Präsident Obama sich seit 2013 dafür eingesetzt habe, dass Datenschutzfragen bei den Überwachungsmassnahmen der US-Behörden besser berücksichtigt würden. Richtigerweise wird in der Stellungnahme darauf hingewiesen, dass sich diese Bemühungen bis anhin noch nicht in einer entsprechenden Gesetzgebung abgebildet haben bzw. entsprechende Gesetze erst noch implementiert werden müssen. Zudem ist darauf hinzuweisen, dass einzelne dieser Massnahmen von Präsident Obama gestützt auf Presidential Policy Directives erfolgten, welche vom Nachfolger von Präsident Obama jederzeit rückgängig gemacht werden können. Des Weiteren ist in der US-Stellungnahme nirgends die Rede von „binding assurances“. Vielmehr wird festgehalten, dass „the U.S. Intelligence Community has described in writing for the European Commission multiple layers of constitutional, statutory, and policy safeguards that apply to its operations, (…).“ Ganz schwammig wird die U.S.-Stellungnahme betreffend die Rechtsbehelfe von Personen, welche von Überwachungsmassnahmen betroffen sind – die EU-Kommission bezeichnet diese Rechtsbehelfe als Meilenstein. Privacy Shield würde den betroffenen Personen zum ersten Mal einen spezifischen Kanal bieten, um Fragen betreffend Überwachungsaktivitäten zu stellen. Die USA habe hierbei die Zusicherung abgegeben, „to respond to appropriate requests regarding these matters, consistent with our national security obligations.“ Der Rechtsbehelf ist damit von einigen Vorbehalten begleitet („appropriate requests“ und „consistent with our national security obligations“).

Kernelemente des Privacy Shield-Regelwerkes

Der Pressemitteilung der EU-Kommission lassen sich die folgenden Kernelemente von Privacy Shield entnehmen:

  • Strenge Pflichten für Unternehmen, welche Personendaten von EU-Bürgern bearbeiten, sowie eine strenge Durchsetzung der Regeln: Entsprechende Pflichten zur Einhaltung von Datenbearbeitungsgrundsätzen bestanden bereits unter dem Safe Harbor-Framework. Neu ist dagegen, dass die Einhaltung der Regeln vom U.S. Department of Commerce viel stärker überwacht werden soll. Verletzungen können von der U.S. Federal Trade Commission sanktioniert werden. Zusätzlich müssen sich Unternehmen, welche Personendaten von EU-Bürgern unter dem Privacy Shield-Regelwerk importieren und bearbeiten wollen, den Entscheiden der zuständigen europäischen Datenschutzbehörden unterwerfen.
  • Klare Sicherheitsvorkehrungen und Transparenzpflichten betreffend den Zugang durch U.-Behörden: Wie bereits erwähnt, hätten die U.S.-Behörden zum ersten Mal verbindliche, schriftliche Zusicherungen abgegeben, dass solche Zugriffe auf Personendaten klaren Einschränkungen, Sicherheitsvorkehrungen und Kontrollmechanismen unterworfen seien. Zugriffe sollen nur zulässig sein, falls sie notwendig und verhältnismässig seien. Um die Effektivität der Regeln in diesem Bereich sicherzustellen, soll ein jährlicher Joint Review abgehalten werden.
  • Effektiver Schutz der Rechte von EU-Bürgern durch verschiedene Rechtsbehelfe: Falls ein Bürger der Meinung ist, dass die Privacy Shield-Regelung im Zusammenhang mit seinen Personendaten nicht eingehalten wurde, sollen im neu verschiedene Rechtsbehelfe zur Verfügung stehen. Privacy Shield sieht vor, dass datenbearbeitende Unternehmen entsprechende Beschwerden innert einer bestimmten Frist beantworten müssen. Zudem können europäische Datenschutzbehörden entsprechende Beschwerden an das Department of Commerce bzw. die Federal Trade Commission weiterleiten. Des Weiteren sind kostenlose alternative Streitbeilegungsverfahren vorgesehen. Zuletzt wird für Beschwerden im Zusammenhang mit dem Zugriff auf Personendaten durch U.S.-Behörden eine neue Ombudsstelle geschaffen.

Wie bereits erwähnt, sind diese Kernelemente des neuen Regelwerks bereits unter massive Kritik von Bürgerrechtlern geraten. Die Bürgerrechtler sind vor allem skeptisch, ob die USA all die gemachten Zusicherungen betreffend Überwachungsmassnahmen auch einhalten, wenn es ernst gilt. Die Lösung mit der Ombudsstelle für Beschwerden betreffend Behördenzugriffe stärkt hierbei das Vertrauen in die Ernsthaftigkeit der Zusicherungen sicherlich nicht.

Nächste Schritte

Das Kollegium der EU-Kommissionsmitglieder hat am 2. Februar 2016 den Vizepräsidenten Ansip und das Kommissionsmitglied Jourova mit der Ausarbeitung einer „Adequacy Decision“ beauftragt. Bei der „Adequacy Decision“ geht es darum, dass die EU-Kommission prüft und entscheidet, ob das Privacy Shield-Regelwerk ein ausreichendes Datenschutzniveau im Sinne der EU-Datenschutzrichtlinie sicherstellt. Diese Entscheidung soll in den nächsten drei Wochen vorbereitet werden.

Die entsprechenden Unterlagen werden dann in die Vernehmlassung durch die Artikel 29 Working Party – ein Kollegium mit Vertretern aller nationalen europäischen Datenschutzbehörden – und ein aus Vertretern der Mitgliedstaaten bestehendes Kollegium geschickt.

Parallel zu den Schritten in der EU muss die USA damit beginnen, dass neue Regelwerk, Kontrollmechanismen und die neue Ombudsstelle zu implementieren.

Es muss damit gerechnet werden, dass die Annahme des Privacy Shield-Regelwerkes in der EU nicht so einfach von statten gehen wird. Darauf lassen Stellungnahmen von europäischen Datenschützern schliessen. Man könne im Moment noch nicht sagen, ob das Privacy Shield-Regelwerk den EU-Anforderungen an den Datenschutz genügen würde. Die europäischen Datenschützer wurden nicht in die Verhandlungen miteinbezogen und erst in letzter Minute überhaupt konsultiert. Die europäischen Datenschützer rechnen damit, dass sie ihre Prüfung des Privacy Shield-Regelwerkes nicht vor Mitte April 2016 abschliessen werden.

Der Bürgerrechtsaktivist Schrems, welcher mit seiner Beschwerde das Safe Harbor-Framework ausser Kraft setzte, hat auf seiner Webseite bereits mal angekündigt, dass der EuGH notfalls auch Privacy Shield wieder prüfen werden müsse. Aufgrund der wenigen bekannten Informationen zum Regelwerk sei zu befürchten, „dass dieser «Deal» einfach nur ein Roundtrip zum EuGH nach Luxemburg ist.“

Bis auf weiteres dürfte sich daher für die Unternehmen die erhoffte Rechtssicherheit noch nicht ergeben. Den Unternehmen ist weiterhin zu raten, Personendaten gestützt auf alternative Massnahmen, wie z.B. die EU-Standardvertragsklauseln, in die USA zu transferieren. In der Stellungnahme zu Privacy Shield hat die Vertreterin der europäischen Datenschützer klar festgehalten, dass Safe Harbor trotz der laufenden Bemühungen um ein Nachfolgeabkommen für EU-Unternehmen nicht mehr gelte und die Umstellungsfrist nunmehr abgelaufen sei.

Weitere Informationen:

Ansprechpartner: Michael Reinle & Lukas Bühlmann


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.