Ihr Kontakt
Die EU-Kommission hat am 12. Juli 2016 das EU-U.S. Privacy Shield verabschiedet. Das Privacy Shield hat eine zähe Entstehungsgeschichte hinter sich und wurde und wird weiterhin von zahlreichen Daten- und Verbraucherschützern in der EU kritisiert (vgl. bereits BR-News vom 18. April 2016). Trotz dieser kritischen Stimmen will die EU-Kommission mit der Implementierung des Privacy Shield rasch vorwärts machen. Für U.S.-Unternehmen, welche vom erleichterten Datentransfer unter dem Privacy Shield profitieren möchten, soll die Zertifizierung beim U.S. Department of Commerce ab dem 1. August 2016 offen stehen. Viele U.S.-Unternehmen werden zuerst zur Einhaltung der Privacy Shield-Bestimmungen datenschutzrechtliche Verbesserungen implementieren müssen.
EU-Kommission boxt Privacy Shield durch
Die EU-Kommission hat in den letzten Monaten die Geschwindigkeit betreffend die Verabschiedung des Privacy Shield erhöht. Dadurch hat sie sich nicht nur Freunde gemacht.
Die erste Fassung des EU-U.S. Privacy Shield vom 29. Februar 2016 wurde insbesondere von der Art. 29 Arbeitsgruppe skeptisch bewertet (eine Zusammenfassung der Privacy Shield-Bestimmungen sowie der Kritik am Privacy Shield erfolgte in den BR-News vom 18. April 2016). Datenschutzorganisationen verlangten deutliche Nachbesserungen.
Die EU-Kommission hat aufgrund dieser Kritik in den Verhandlungen mit den USA gewisse Nachbesserungen erzielen können (European Commission launches EU-U.S. Privacy Shield, 12 July 2016):
- Die Nachbesserungen wurden primär im Bereich der Privacy Shield Principles für die Unternehmen erreicht.
- So wurde klargestellt, dass Personendaten nur so lange gespeichert werden dürfen, als dies für den Bearbeitungszweck notwendig ist.
- Klarstellungen erfolgten auch betreffend die Regelungen über die Weiterleitung von Daten (Onward Transfers).
- Betreffend den Zugriff von staatlichen Behörden auf Personendaten hat die USA zusätzliche Erläuterungen betreffend Massenerhebung von Daten abgegeben. Es handelt sich hierbei allerdings um relativ lapidare Erklärungen der US-Behörden. So wird behauptet, dass eine „massenhafte Datenerfassung“ keine „unterschiedslose Massenüberwachung“ darstelle (Heise Online vom 5. Juli 2016, EU-US-Datentransfer: EU-Kommission will Datenschützer beim Privacy Shield aussen vorhalten).
- Zuletzt wurde die Objektivität und Unabhängigkeit des Ombudsmannes von Seiten der U.S.-Behörden klarer betont. Der Ombudsmann wird individuelle Beschwerden von EU-Bürgern behandeln, die befürchten, dass US-Behörden ihre Personendaten unrechtmässig im Rahmen der nationalen Sicherheit verarbeiten. Der Ombudsmann erhält daher eine sehr wichtige Aufgabe, war doch gerade dieser Zugriff von U.S.-Behörden auf Personendaten von EU-Bürgern der Stolperstein beim Safe Harbor-Framework.
Dank dieser Nachbesserungen hat am 8. Juli 2016 der sog. Art. 31-Ausschuss mit Vertretern der Mitgliedstaaten der überarbeiteten Fassung des Privacy Shield zugestimmt. Diese Zustimmung erlaubte es der EU-Kommission am 12. Juli 2016 das EU-U.S. Privacy Shield zu verabschieden. Die Verabschiedung erfolgte als Angemessenheitsentscheidung nach Art. 25 Abs. 6 der Datenschutzrichtlinie (Richtlinie 95/46/EG).
Kritik am Privacy Shield ebbt nicht ab
Trotz dieser Adäquanzentscheidung der EU-Kommission wird die Kritik am Privacy Shield nicht abreissen. Es muss damit gerechnet werden, dass der EuGH früher oder später die Angemessenheit der Adäquanzentscheidung prüfen muss.
Während die Vertreter der Mitgliedstaaten im Art. 31-Ausschuss das Privacy Shield akzeptiert haben, übten Datenschützer aus den Mitgliedstaaten deutliche Kritik. Die deutsche Bundesdatenschutzbeauftragte Andrea Vosshoff kritisiert vor allem, dass die Art. 29 Arbeitsgruppe vor der Adäquanzentscheidung der EU-Kommission keine Gelegenheit erhielt, um sich zur nachgebesserten Fassung des Privacy Shields zu äussern (Heise Online vom 8. Juli 2016, EU-U.S.-Datentransfer: EU-Mitgliedstaaten stimmen Privacy Shield zu).
Die EU-Kommission habe die Art. 29 Arbeitsgruppe gar nicht über die überarbeitete Fassung des Privacy Shield informiert. Man habe über das Internet von der überarbeiteten Fassung Kenntnis erhalten (Heise Online vom 5. Juli 2016, EU-US-Datentransfer: EU-Kommission will Datenschützer beim Privacy Shield aussen vorhalten).
Die Deutsche Vereinigung für Datenschutz (DVD) hält die Nachbesserungen in der verabschiedeten Fassung für zu marginal. Die Argumente, welche dafür sprechen, dass das Privacy Shield der Rechtsprechung des EuGH nicht entspricht, bestünden unverändert weiter (Heise Online vom 5. Juli 2016, EU-US-Datentransfer: EU-Kommission will Datenschützer beim Privacy Shield aussen vorhalten).
Im Gegensatz zu den Datenschützern sind die Industrieverbände mit den neuen Regelungen zufrieden. Das Privacy Shield schaffe wieder Rechtssicherheit im transatlantischen Datenverkehr (Heise Online vom 12. Juli 2016, Privacy Shield: Umstrittene Regeln für Datentransfers in die USA treten in Kraft). Aufgrund der teils überzogenen Kritik der Daten- und Verbraucherschützer steht diese Rechtssicherheit allerdings auf einem schwachen Fundament.
Wie am 1. Juli 2016 angekündigt (Press Release Art. 29 Working Party of 1 July 2016), hat sich die Art. 29 Arbeitsgruppe am 26. Juli 2016 zum überarbeiteten EU-U.S. Privacy Shield geäussert (Press Release Art. 29 Working Party of 26 July 2016). Die Arbeitsgruppe begrüsst die Verbesserungen des Privacy Shield im Vergleich zum früheren Safe Harbor-Framework. Sie begrüsst auch, dass die EU-Kommission die Bedenken der Arbeitsgruppe zum Privacy Shield in Betracht gezogen habe. Dennoch verbleiben beim überarbeiteten Privacy Shield gewisse Bedenken. Betreffend die kommerziellen Regeln des Privacy Shields vermisst die Arbeitsgruppe spezifische Bestimmungen betreffend die automatisierte Datenbearbeitung. Zudem sei unklar, wie die Privacy Shield Principles auf «Data Processor» anwendbar seien. Betreffend den Zugriff von Behörden auf transferierte Daten vermisst die Arbeitsgruppe striktere Zusicherungen betreffend die Unabhängigkeit und Kompetenzen des Ombudsman. Konkrete Zusicherungen würden auch betreffend die unterschiedslose Massendatenbearbeitung fehlen. Die Arbeitsgruppe betont, dass die erste jährliche gemeinsame Prüfung des Privacy Shields und dessen Umsetzung ein Schlüsselmoment sein werde. Die Arbeitsgruppe verlangt hierbei, dass die Kompetenzen der Mitglieder der Arbeitsgruppe, welche an der gemeinsamen Prüfung teilnehmen, klar definiert werden müssen. Insbesondere müssten die Mitglieder der Arbeitsgruppe direkten Zugang zu allen notwendigen Informationen erhalten. Dies müsse auch Informationen betreffend den Zugang von US-Behörden zu transferierten Daten umfassen. Ziel der Prüfung werde es sein, die Praktikabilität und Effektivität der Schutzvorkehrungen des Privacy Shields zu analysieren. Das Ergebnis der ersten jährlichen Prüfung könnte gemäss Arbeitsgruppe auch Auswirkungen auf die Frage der Angemessenheit anderer Datentransfer-Tools haben (z.B. die EU-Standardvertragsklauseln und die Binding Corporate Rules). Zuletzt kündigte die Arbeitsgruppe an, sie werde nun proaktiv die Implementierung der Privacy Shield Principles begleiten und betroffene Personen bei der Geltendmachung ihrer Rechte aus dem Privacy Shield unterstützen. Die Arbeitsgruppe wird hierzu verschiedene Informationen und Wegleitungen veröffentlichen.
Und die Schweiz?
Das EU-U.S. Privacy Shield ist für Datentransfers von der Schweiz in die USA nicht anwendbar. Die Verabschiedung des Privacy Shield ändert an der Rechtsunsicherheit betreffend Datentransfers in die USA nichts.
Die Verabschiedung des EU-U.S. Privacy Shield dürfte allerdings die Verhandlungen zwischen dem Staatssekretariat für Wirtschaft (SECO) und den US-Behörden über ein Privacy Shield für die Schweiz erleichtern. Es ist damit zu rechnen, dass das EU-U.S. Privacy Shield für die Schweiz praktisch identisch übernommen wird (BR-News vom 18. April 2016). Die betreffenden Verhandlungen sind im Gange. Der Bundesrat hatte das SECO am 16. Dezember 2015 zur Aushandlung eines neuen Abkommens beauftragt (Pressemitteilung betreffend Tätigkeitsbericht 2015/2016 des EDÖB vom 27. Juni 2016). Zeitpläne sind allerdings, soweit ersichtlich, keine veröffentlicht worden.
Streit um Datenschutzregeln in internationalen Verträgen
Das unterschiedliche Verständnis zwischen den USA und Europa im Zusammenhang mit der Bearbeitung von Personendaten zeigt sich nicht nur bei der Beurteilung des Privacy Shield. Der Streit nimmt seine Fortsetzung bei der Aushandlung von internationalen Verträgen.
Die EU-Verbraucherschützer drängen auf eine Nachbesserung von Datenschutzausnahmen in internationalen Verträgen (Heise Online vom 16. Juli 2016, Transatlantischer Zoff: Digitaler Datenschutz oder digitaler Protektionismus?). Datenschutzausnahmen erlauben den Vertragsparteien internationaler Verträge, weiterhin selbst zu regeln, wie der Datenschutz gehandhabt werden soll. Ein Beispiel für eine solche Datenschutzausnahmeklausel ist Art. XIV des GATS. Art. XIV des GATS setzt solchen Datenschutzausnahmen allerdings gewisse Grenzen. Nationale Datenschutzbestimmungen dürfen sich nicht wie technische Handelsbarrieren auswirken.
Eine gleichlautende Klausel wie Art. XIV des GATS wurde in das Transatlantic Trade and Investment Partnership-Agreement (TTIP) aufgenommen, welches aktuell zwischen den USA und der EU verhandelt wird. Eine von europäischen Verbraucherschutzverbänden vorgestellte Studie verlangt nun allerdings, dass die entsprechende Klausel im TTIP überarbeitet und erweitert wird. Die Datenschutzausnahmeklausel soll umfassend und bedingungslos sein. Handelspartnern soll es erlaubt sein, auch zukünftig Regeln für den grenzüberschreitenden Datentransfer zu erlassen. Dies unabhängig von der Frage, ob sich die Regeln wie technische Handelsbarrieren auswirken. Mit dieser bedingungslosen Ausnahmeklausel soll eine Erosion der EU-Datenschutzregeln durch Handelsverträge verhindert werden.
Der Vorschlag der europäischen Verbraucherschutzverbände wird in den USA scharf kommentiert und abgelehnt. Es ist die Rede von digitalem Protektionismus. Die USA hat gehofft, dass mit der Verabschiedung des Privacy Shield die Verhandlungen des Kapitels zu den „Digital Services“ im TTIP vorangetrieben werden können.
Die transatlantischen Diskussionen über die Datenschutzausnahmeklausel im TTIP zeigen deutlich, wie unterschiedlich die Vorstellungen von Datenschutz sind. In den USA wird Datenschutz im Sinne des Verbraucherrechts verstanden, welches bei Transaktionen zu beachten ist. In der EU wird der persönlichkeitsrechtliche Charakter des Datenschutzes betont. Vor diesem Hintergrund ist es verständlich, dass die USA Datenschutzausnahmeklauseln nur in beschränktem Umfang zulassen will. Datenschutzregeln sollen sich nicht als technische Handelsbarrieren auswirken. Datenschutz verstanden als Persönlichkeitsrecht steht dagegen über solchen wirtschaftlichen, transaktionsbezogenen Überlegungen.
Es wird interessant sein, wie sich diese Diskussionen weiterentwickeln. Wegen dieser erheblichen Differenzen erscheint es vollkommen unrealistisch, dass die Verhandlungen über das TTIP Ende 2016 abgeschlossen werden können. Die Datenschutzfrage ist mitunter nicht das einzige umstrittene Thema.
Weitere Informationen:
- BR-News vom 18. April 2016.
- Press Release Art. 29 Working Party of 1 July 2016
- European Commission launches EU-U.S. Privacy Shield, 12 July 2016
- Heise Online vom 5. Juli 2016, EU-US-Datentransfer: EU-Kommission will Datenschützer beim Privacy Shield aussen vorhalten
- Heise Online vom 8. Juli 2016, EU-U.S.-Datentransfer: EU-Mitgliedstaaten stimmen Privacy Shield zu
- Heise Online vom 12. Juli 2016, Privacy Shield: Umstrittene Regeln für Datentransfers in die USA treten in Kraft
- Press Release Art. 29 Working Party of 26 July 2016
- Pressemitteilung betreffend Tätigkeitsbericht 2015/2016 des EDÖB vom 27. Juni 2016
- Heise Online vom 16. Juli 2016, Transatlantischer Zoff: Digitaler Datenschutz oder digitaler Protektionismus?
Ansprechperson: Michael Reinle & Lukas Bühlmann