Article 29 Working Party, Opinion 1/2016, 13 April 2016

Datentransfer in Drittländer: Stellungnahme der Art. 29 Datenschutzgruppe zum "EU - US Privacy Shield"

Am 13.4.2016 hat die Art. 29 Datenschutzgruppe ihre datenschutzrechtliche Einschätzung des Entwurfs für einen Angemessenheitsbeschluss zum "EU - US Datenschutzschild" verabschiedet. Die Art. 29 Datenschutzgruppe begrüßt zunächst die wesentlichen Verbesserungen gegenüber der vorherigen Safe-Harbor-Regelung, zählt aber sodann eine Liste von fünf gravierenden Mängeln auf und weist auf zwei weitere Schwachstellen im Verhältnis zu den USA hin. Deshalb richtet sie an die EU-Kommission die dringende Bitte, diese fundamentalen Defizite zu beheben und sicherzustellen, dass der Schutz durch das "EU - US Datenschutzschild" auch tatsächlich dem Schutz in der EU entspricht.

Die fünf gravierenden Mängel

Die Art. 29 Datenschutzgruppe bemängelt sodann aber die Unübersichtlichkeit und Unklarheiten wegen der Verteilung der datenschutzrechtlichen Prinzipien und Garantien auf den Angemessenheitsbeschluss und seine Anhänge. Insbesondere vermisst die Art. 29 Datenschutzgruppe die Verankerung maßgeblicher datenschutzrechtlicher Schlüsselprinzipien: 

  • weder der Bereich der Vorratsdatenspeicherung noch der Bereich automatisierter Datenverarbeitungsentscheidungen finden überhaupt Erwähnung;
  • das Prinzip der Zweckbegrenzung bleibt unklar und der Datentransfer von einem Drittland in weitere Drittländer ist defizitär erfasst;
  • der Bereich des individuellen Rechtsschutzes erscheint ineffektiv geregelt. 

Schließlich muss der Angemessenheitsbeschluss mit Blick auf seine Reichweite und seine Terminologie einem umfassenden Review unterzogen werden, sobald die EU Datenschutz-Grundverordnung im Frühjahr 2018 anwendbar wird.

Datenzugriff durch staatliche Einrichtungen

Hinsichtlich eines Zugriffs auf personenbezogene Daten durch staatliche Einrichtungen bemängelt die Art. 29 Datenschutzgruppe hervor, dass das US Office of the Director of National Intelligence (ODNI) massive und unterschiedslose Erfassung und Überwachung personenbezogener Daten aus der EU nicht ausgeschlossen hat.

So sehr die Art. 29 Datenschutzgruppe auch die Einrichtung einer Ombudsperson als Rechtschutzmechanismus für den einzelnen Betroffenen als Verbesserung begrüßt, so sehr fürchtet sie, dass diese Ombudsperson nicht hinreichend unabhängig und nicht mit adäquaten Befugnissen ausgestattet ist, um ihre Funktion erfüllen zu können.

Erstes Echo

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, unterstützt ausdrücklich die Stellungnahme der Art. 29 Datenschutzgruppe und bestätigt den von ihr festgestellten Nachbesserungsbedarf beim “EU-US Datenschutzschild”.

Im CRonline Blog versucht Lejeune die Erwartungen an ein "EU-US Privacy Shield" wieder auf den Boden der Realität zurück zu holen und arbeitet heraus, dass der EU die Kompetenz fehlt, Fragen der nationalen Sicherheit zu behandeln. Wie die nationale Sicherheit der EU-Mitgliedstaaten mit Fragen des Datenschutzes abgewogen wird, müsste das EU-Recht klarstellen und stelle angesichts gegenwärtiger Terroranschläge eine besondere Herausforderung dar.

(ga)

Article 29 Working Party, Opinion 1/2016 on the EU – U.S. Privacy Shield draft adequacy decision, WP238, 13 April 2016

BfDI, "Voßhoff begrüßt die Forderung der Artikel-29-Gruppe beim »EU-US Privacy-Shield« nachzubessern", PM 07/2016 v. 13.4.2016

Lejeune, "Zur Zukunft des internationalen Datenaustauschs im Schnittfeld von Sicherheits- und Datenschutzrecht", CRonline Blog v. 14.4.2016

Verlag Dr. Otto Schmidt vom 14.04.2016 08:38

zurück zur vorherigen Seite