06.12.17

EU – U.S. Privacy Shield weiter in der Kritik

Die Art. 49 Datenschutzgruppe hat Ende November ihren erwarteten Bericht veröffentlicht und zur ersten gemeinsamen jährlichen Überprüfung des „EU – U.S. Privacy Shield“ Stellung bezogen.

 

Die EU-Datenschützer grenzen sich in ihrem Bericht klar von dem im Oktober veröffentlichten ersten jährlichen Bericht der Europäischen Kommission ab, in dem diese lediglich die „Verbesserbarkeit“ des „Privacy Shield“ eingeräumt hatte.

In ihrem Bericht begrüßen die EU-Datenschützer zwar die Fortschritte, die die US-Behörden bei der Etablierung des Privacy-Shield-Regimes im Vergleich zum vorherigen „Safe Harbour“-Regime erzielt haben, dessen zugrundeliegende Kommissionsentscheidung der EuGH im Jahr 2015 für unwirksam erklärt hatte. Dennoch geht die Gruppe weiterhin davon aus, dass „Privacy Shield“ noch immer zahlreiche, teils gravierende Mängel aufweist.

Die Datenschützer kritisieren unter anderem, dass es in inhaltlicher Hinsicht zu wenig Hilfestellung für die teilnehmenden US-Unternehmen gebe. Die zur „Durchsetzung“ des „Privacy Shield“ zuständigen US-Behörden müssten den teilnehmenden Unternehmen klarere Informationen und Leitlinien an die Hand geben, wie sie die Prinzipien des „Privacy Shield“ auszulegen haben, damit diese sie in der Praxis in ihre unternehmenseigenen Richtlinien umsetzen und anwenden könnten. Um ein einheitliches Verständnis der Prinzipien des „Privacy Shield“ sicherzustellen, sollen sich die US-Behörden mit den EU-Datenschützern bei Auslegungsfragen austauschen. Zudem müssten die US-Behörden auf der „Privacy Shield“-Webseite auch klare und verständliche Informationen über die Rechte und Rechtsmittel vorhalten, welche betroffene Dateninhabern bei Verstößen zur Verfügung stehen.

Notwendig ist es aus Sicht der Datenschützer auch, die Überwachung der teilnehmenden US-Unternehmen zu verstärken, um sicherzustellen, dass diese die Prinzipien des „Privacy Shield“ auch tatsächlich einhalten. Dies müsse etwa durch von Amts wegen vorgenommene Untersuchungen und die kontinuierliche Überwachung bestimmter Unternehmen gewährleistet werden.

Neben weiteren Verbesserungen fordert die Datenschutzgruppe aber vor allem, dass die bereits in ihren vorangegangenen Stellungnahmen aufgezeigten wesentlichen Mängel des „Privacy Shield“ beseitigt werden. Im Mittelpunkt steht dabei die ungelöste Problematik des ausufernden behördlichen Zugriffs auf personenbezogene Daten von Betroffenen in der EU, die über den „Privacy Shield“ in die USA transferiert werden. Die Datenschützer kritisieren unter anderem zu Recht, dass der Rechtsschutz für Dateninhaber in Form einer möglichen Anrufung der sogenannten „Ombudsperson“ beim jetzigen Stand der aus den USA übermittelten Informationen unzureichend ist (ebenso bereits cepStudie „Privacy Shield“). Es sei nicht klar ersichtlich, dass die Ombudsperson tatsächlich in der Lage sei, auf Unterlagen der US-Geheimdienste zuzugreifen und eventuelle Verstöße zu beseitigen. Die tatsächlichen Kompetenzen der Ombudsperson und die Einzelheiten dieses Verfahrens seien zu intransparent. Hierzu existierende Dokumente seien nicht allgemein zugänglich. Zudem sei gegen Entscheidungen der Ombudsperson derzeit kein Rechtsmittel möglich. Die Datenschützer gehen daher zu Recht davon aus, dass der Ombudsperson-Rechtsbehelf kein wirksames Rechtsmittel im Sinne der EU-Grundrechtecharta darstellt, auf welches Betroffene in der EU jedoch einen grundrechtlich verbürgten Anspruch haben. Der EuGH hatte das Fehlen eines solchen Rechtsmittels maßgeblich zum Anlass genommen, die Safe-Harbour-Entscheidung für ungültig zu erklären.

Die EU-Datenschützer fordern die Kommission und die US-Behörden daher auf, die Gespräche zur Verbesserung des „Privacy Shield“ wiederaufzunehmen und schnellstmöglich einen Aktionsplan aufzustellen, um ihre Bereitschaft zur Beseitigung aller genannten Bedenken zu symbolisieren.

Danach sollen die US-Behörden innerhalb einer ersten Frist bis zum 25. Mai 2018, an dem zugleich die EU-Datenschutzgrundverordnung anwendbar wird, unter der Trump-Regierung eine dauerhaft zuständige Ombudsperson sowie die fehlenden Mitglieder des für die Kontrolle exekutiver Maßnahmen zur Terrorismusbekämpfung zuständigen „Privacy and Civil Liberties Oversight Board“ (PCLOB) ernennen. Ferner sollen sie hinreichende Transparenz in Bezug auf die tatsächlichen Kompetenzen des Ombudsmanns sowie die Einzelheiten des Ombudsmann-Verfahrens schaffen.

In einem zweiten Schritt – der spätestens bis zur zweiten jährlichen Überprüfung zu erledigen ist – sollen Kommission und US-Behörden dann alle übrigen im Report genannten Mängel des „Privacy Shield“ beseitigen.

Sollten Kommission und US-Behörden es versäumen, die Mängel innerhalb der genannten Fristen zu beseitigen, wollen die Datenschützer geeignete Maßnahmen ergreifen. Insbesondere drohen sie damit, vor den nationalen Gerichten gegen den Angemessenheitsbeschluss der Kommission zu klagen, der die Grundlage für den „Privacy Shield“ bildet, um eine Vorlage an den Europäischen Gerichtshof (EuGH) zu erreichen. Dieser müsste dann über die Rechtmäßigkeit des Schutzschildes und damit erneut ein gutes Stück weit über das Schicksal des transatlantischen Datenverkehrs befinden. Betrachtet man die Entwicklung der Rechtsprechung zum Datenschutz, erscheint es nicht ausgeschlossen, dass der EuGH dabei zumindest ernsthafte Bedenken an der Rechtmäßigkeit des „Privacy Shield“ äußern würde.

Zum Hintergrund: Der „Privacy Shield“ beruht auf einem Angemessenheitsbeschluss, den die EU-Kommission im Juli 2016 als Ersatz für die vom Europäischen Gerichtshof für ungültig erklärte „Safe Harbour-Entscheidung“ erlassen hat. Mit diesem Beschluss erkennt die EU-Kommission an, dass die Vereinigten Staaten von Amerika für personenbezogene Daten, die im Rahmen des "Privacy Shield" aus der EU in die USA übermittelt werden, ein vergleichbares Datenschutzniveau wie die EU aufweisen. EU-Unternehmen dürfen deshalb Daten an Empfänger in den USA übermitteln, die nach den Grundsätzen des „Privacy Shield“ zertifiziert sind.

 

Dr. Anja Hoffmann, LL.M. Eur., EU-Verträge & -Institutionen, hoffmann(at)cep.eu