EU-Kommission, IP/16/433 v. 29.2.2016

Das Legislativpaket der EU-Kommission für's "EU - U.S. Privacy Shield"


Am 29.2.2016 hat die EU-Kommission das Legislativpaket zum EU-US-Datenschutzschild vorgelegt. Das Legislativpaket wird zum einen ergänzt durch eine Mitteilung der EU-Kommission über ihre drei Maßnahmen zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr:  (1) die EU-Datenschutzreform,  (2) das EU-US-Rahmenabkommen für Datenübermittlungen im Bereich der Strafverfolgung und  (3) das EU-US-Datenschutzschild. Zum anderen hat die EU-Kommission den Entwurf für einen Angemessenheitsbeschluss und zahlreiche Texte zu EU-US-Datenschutzschild angenommen.

Die Mitteilung

Die Mitteilung der EU-Kommission fasst zusammen, was alles in den letzten Jahren unternommen worden ist, um das seit den Enthüllungen 2013 erschütterte Vertrauen in den transatlantischen Datenverkehr wiederherzustellen.

Entsprechend den Politischen Leitlinien von Kommissionspräsident Juncker hat die EU-Kommission

i) die Reform des EU-Datenschutzrechts zum Abschluss gebracht, das für alle Unternehmen gilt, die Dienstleistungen im EU-Binnenmarkt anbieten,
ii) das EU-US-Rahmenabkommen ausgehandelt, das hohe Datenschutzstandards für der Strafverfolgung dienende Datenübermittlungen über den Atlantik gewährleistet, und
iii) einen neuen soliden Rahmen für den Austausch kommerzieller Daten geschaffen: den EU-US-Datenschutzschild.

Der Entwurf für Angemessenheitsbeschluss

Angenommen hat die EU-Kommission zudem den Entwurf eines sogenannten Angemessenheitsbeschlusses und eine Reihe von Texten zum EU-US-Datenschutzschild. Dabei handelt es sich unter anderem um die von den Unternehmen einzuhaltenden Datenschutzgrundsätze sowie um schriftliche (im US-Bundesregister zu veröffentlichende) Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, darunter Garantien und Beschränkungen für den Datenzugriff durch Behörden.

Mit dem Angemessenheitsbeschluss wird bescheinigt, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Der neue Rahmen wird den Vorgaben gerecht, die der Gerichtshof der Europäischen Union in seinem Schrems-Urteil formuliert hatte (EuGH, Urt. v. 6.10.2015 - Rs. C-362/14, CR 2015, 633 m. Anm. Härting (zu den Auswirkungen ausführlich Moos/Schefzig, CR 2015, 625 ff. und Schuster/Hunzinger, CR 2015, 787 ff.).

Die US-Regierung gab überzeugende Zusicherungen dahingehend ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen.

Die Schutzgarantien des EU-US Datenschutzschilds

Garantiert wird dies auf folgende Weise:

  • Strenge Auflagen für Unternehmen und konsequente Durchsetzung:
Die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an andere Partner ist jetzt an strengere Bedingungen geknüpft. Es sind wirksame Aufsichtsmechanismen vorgesehen, damit die Unternehmen ihren Pflichten nachkommen. Dazu zählen auch Sanktionen und sogar die Streichung aus der Liste, falls ein Unternehmen gegen die Regeln verstößt.
  • Klare Schutzvorkehrungen und Transparenzpflichten beim behördlichen Datenzugriff:
Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen. US-Außenminister John Kerry hat zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Personen nachgehen und ihnen mitteilen, ob die einschlägigen Gesetze beachtet wurden. Alle schriftlichen Zusicherungen werden im US-Bundesregister veröffentlicht.
  • Wirksamer Schutz der Betroffenen:
Reaktionszeit:  Unternehmen müssen Beschwerden innerhalb von 45 Tagen nachgehen.
ADR-Verfahren:  Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Die betroffenen EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch.
Verbindliche Vorgaben der Datenschutzaufsicht:  Die Unternehmen können sich zudem verpflichten, den Empfehlungen europäischer Datenschutzbehörden nachzukommen. Für Unternehmen, die Personaldaten verarbeiten, ist dies Pflicht.
  • Gemeinsame jährliche Überprüfung:

Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit.

Die EU-Kommission und das US-amerikanische Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen.

Die EU-Kommission wird darüber hinaus alle anderen Informationsquellen wie Transparenzberichte von Unternehmen über den Umfang der von Behörden angeforderten Daten heranziehen. Sie wird einmal pro Jahr interessierte NRO und sonstige Beteiligte zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern. Die EU-Kommission wird auf der Grundlage der jährlichen Überprüfung einen öffentlichen Bericht an das EU-Parlament und den EU-Rat vorlegen.

Nächste Schritte

Bevor das Kollegium abschließend entscheidet, wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) konsultiert, der zu dem Datenschutzschirm Stellung nimmt. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle.

Nach Verabschiedung des von Präsident Obama am 24.2.2016 unterzeichneten Judicial Redress Act im US-Kongress wird die EU-Kommission jetzt in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens vorschlagen. Über den Abschluss des Abkommens entscheidet der EU-Rat nach Zustimmung des EU-Parlaments.

(ga)

"Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr", IP/16/433 v. 29.2.2016

EU-Commission, Communication on "Transatlantic Data Flows: Restoring Trust through Strong Safeguards", COM(2016) 117 final, 29 February 2016

Draft EU-Commission Implementing Decision on "adequacy of the protection provided by the EU-U.S. Privacy Shield", 29 February 2016

Verlag Dr. Otto Schmidt vom 21.03.2016 17:57

zurück zur vorherigen Seite