EU-Commission, IP/16/2461, 12.7.2016

Das finale Privacy Shield und die "Star Trek Parallele"

Am 12.7.2016 hat die EU-Kommission das finale "EU-U.S. Privacy Shield" verabschiedet und ihren Beschluss über die Angemessenheit seines Datenschutzes an die Mitgliedstaaten notifiziert. Die konkreten Neuerungen für Unternehmen zeigt Voigt, "EU-US Privacy Shield – was hat sich im Vergleich zu Safe Harbor geändert?", CRonline Blog v. 14.7.2016.
Letzte Woche Freitag (8.7.2016) hatten die Vertreter der EU-Mitgliedstaaten im Art. 31-Ausschuss diese finale Fassung bestätigt und damit den Weg für einen positiven Angemessenheitsbeschluss der EU-Kommission zum Datenschutzniveau in den USA frei gemacht. Das finale "EU-U.S. Privacy Shield" soll den Transfer personenbezogener Daten in die USA schützen, wird aber den europarechtlichen Vorgaben des Gerichtshofs der Europäischen Union (EuGH) nicht gerecht (siehe die Analyse von Börding, CR 7/2016, 431 ff.).
Damit ist das "EU-U.S. Privacy Shield" mit "Shields" im fiktiven Star Trek Universum vergleichbar, die sich auf eine Technologie des 23. und 24. Jahrhunderts beziehen, durch die Raumschiffe und Weltraumstationen einen begrenzten (!) Schutz vor Beschädigung erhalten.

Funktionsweise des "EU-U.S. Privacy Shield"

Während die exakte Funktionsweise eines "Shield" im fiktiven Star Trek Universum nie genau erklärt wird (die Charaktere diskutieren lediglich seine Existenz bzw. Manipulierung und deuten physikalische Details allenfalls oberflächlich an), wird die Funktionsweise des "EU-U.S. Privacy Shield" im 44-seitigen Angemessenheitsbeschluss der EU-Kommission v. 12.7.2016 [155 Erwägungsgründe (!) für die 6 Artikel der Entscheidung] und seinen 7 Anhängen [insgesamt weitere 104 Seiten] deutlicher beschrieben.

Bei unabhängiger datenschutzrechtlicher Beurteilung ergibt sich Folgendes: 

  • Für den öffentlichen Bereich enthält das Privacy Shield Zusicherungen der US-Stellen, die Einhaltung der Privacy Principles einzuhalten, und der überarbeitete Ombudsman-Mechanismus beinhaltet eine gewisse Verbesserung der Betroffenenrechte. Die grundlegenden Defizite des US-Datenschutzrechts gegenüber den europarechtlichen Vorgaben werden indes nicht überwunden, so dass Zweifel an der Angemessenheit des Datenschutzniveaus in den USA nicht ausgeräumt werden, zu Details siehe Börding, CR 7/2016, 431 (438 f.).
        
  • Für den privatrechtlichen Bereich sieht das Privacy Shield einheitliche Rahmenbedingungen und Datenschutzgrundsätze vor, die über die bisherigen gesetzlichen Bestimmungen in den USA hinausgehen. Allerdings weicht das Privacy Shield insoweit nicht nur von den Vorgaben der Datenschutzrichtlinie ab, sondern sind auch in sich unklar und bieten vor allem im Hinblick auf die DSGVO keine ausreichende Handhabe, zu Details und Beispielen siehe Börding, CR 7/2016, 431 (439 f.).

Hintergrund

Im Oktober 2015 erklärte der EuGH den Angemessenheitsbeschluss der EU-Kommission zum "Safe Harbor"-Abkommen für ungültig (EuGH, Urt. v. 6.10.2016 - C-362/14 - "Safe Harbor", CR 10/2015, 633 m.Anm. Härting; dazu die sorgfältige Analyse von Moos/Schefzig, "'Safe Harbor' hat Schiffbruch erlitten", CR 10/2015, 625 ff.)

Ende Januar 2016 lief die von der Art. 29 Datenschutzgruppe eingeräumte Schonfrist aus.

Im Februar legt die EU-Kommission unter der Bezeichnung "EU-U.S. Privacy Shield" ihren ersten Entwurf für ein Nachfolgeabkommen für "Safe Harbor" vor ("Das Legislativpaket der EU-Kommission für's 'EU - U.S. Privacy Shield'", CRonline News v. 21.3.2016).

Im April 2016 zählt die Art. 29 Datenschutzgruppe eine Liste von fünf gravierenden Mängeln des "EU-U.S. Privacy Shield" auf und weist auf zwei weitere Schwachstellen im Verhältnis zu den USA hin ("Datentransfer in Drittländer: Stellungnahme der Art. 29 Datenschutzgruppe zum 'EU - US Privacy Shield'", CRonline News v. 14.4.2016).

Im Mai 2016 fordert das EU-Parlament in einer Resolution die EU-Kommission zur erneuten Verhandlung über das Privacy Shield auf ("Transfer personenbezogener Daten in Drittländer: Das Schicksal des 'Privacy Shield'", CRonline v. 17.6.2016).

Im Juni legt die EU-Kommission ihren überarbeiteten Entwurf für ein "EU-U.S. Privacy Shield" vor, den die Vertreter der EU-Mitgliedstaaten im Art. 31 Ausschuss nun am 8.7.2016 mehrheitlich angenommen haben (nur 4 EU-Mitgliedstaaten haben sich der Stimme enthalten; Österreich, Bulgarien, Kroatien und Slovenien).

Nächste Schritte

1. Die EU-Kommission betont in ihrer Pressemitteilung v. 12.7.2016 die praktische Umsetzung des "EU-U.S. Privacy Shield":

  • Am 12.7.2016 leitet die EU-Kommission ihren „Angemessenheitsbeschluss“ den EU-Mitgliedstaaten zu, so dass er unverzüglich in Kraft tritt.
  • In den USA wird der Rahmen für das "EU-U.S. Privacy Shield" im US-Bundesregister (Pendant zum EU-Amtsblatt) veröffentlicht.
  • Das US-Handelsministerium wird mit der Anwendung des "EU-U.S. Privacy Shield" beginnen:
    Unternehmen können sich ab dem 1. August 2016 vom US-Handelsministerium eine entsprechende Bescheinigung ausstellen lassen.
  • Die EU-Kommission wird gleichzeitig einen kurzen Bürger-Leitfaden zur Erläuterung der Rechtsbehelfe veröffentlichen, die eingelegt werden können, wenn eine Einzelperson der Ansicht ist, dass bei der Verwendung der sie betreffenden personenbezogenen Daten die Datenschutzvorschriften nicht berücksichtigt wurden.

2. Parallel dazu wird die Art. 29 Datenschutzgruppe dieses "EU-U.S. Privacy Shield" sorgfältig analysieren ("coordinated analysis") und so schnell wie möglich ihre Stellungnahme dazu veröffentlichen (Art. 29 Working Party, Press Release of 1 July 2016).

Maßstab wird auch hier insbesondere die Entscheidung des EuGH, Urt. v. 6.10.2015 - Rs. C-362/14, CR 2015, 633 m. Anm. Härting sein (zu deren Auswirkungen ausführlich Moos/Schefzig, CR 2015, 625 ff. und Schuster/Hunzinger, CR 2015, 787 ff.). Hinzu kommen die europäische Rechtsprechung zum Schutz von Grundrechten (instruktiv dazu ausführlich Boehm/Andrees, CR 2016, 146 ff.) und die Empfehlungen der Art. 29 Datenschutzgruppe zu Safe Harbor v. 10.4.2014 und zum Transfer personenbezogener Daten in Drittstaaten v. 24.7.1998

3. Schließlich ist ein gerichtliches Verfahren zu erwarten, im Rahmen dessen dem EuGH die europarechtliche Compliance des "EU-U.S. Privacy Shield" zur Beurteilung vorgelegt wird. Max Schrems von europe-vs-facebook hat im Interview mit dem Deutschlandfunk schon geäußert, auch im "EU-U.S. Privacy Shield" keinen wirklichen Schutz für unsere Daten zu sehen (Beckedahl, "Privacy-Shield: `Da steht genauso drin, US-Recht hat Vorrang`, netzpolitik.org v. 5.7.2016). Sein erfolrgreiches Verfahren gegen das "Safe Harbor"-Abkommen hat viele für die Anforderungen an Datentransfers in Drittstaaten sensibilisiert, so dass offen ist, wer ein solches Gerichtsverfahren gegen das Privacy Shield anstrengen wird.  

Fazit:  Vorübergehender Zeitgewinn

Wie so manches "Shield" im fiktiven Star Trek Universum wird also auch das "EU-U.S. Privacy Shield" allenfalls einen vorübergehenden Schutz für den Transfer personenbezogener Daten in die USA bieten.

Den Angriffen bzw. der Kritik etwa von der Europagruppe Grüne ("Blankoscheck für Datenweitergabe in die USA" PM v. 12.7.2016), in der detaillierten Stellungnahme von Max Schrems (Statement of 12 July 2016), oder auch in der bereits angekündigten Stellungnahme der Art. 29 Datenschutzgruppe sollte das "EU-U.S. Privacy Shield" zwar noch standhalten können. Spätestens der EuGH dürfte es aber endgütlig wieder beseitigen (müssen).

Was bleibt ist immerhin ein vorübergehender Zeitgewinn, der zur Entwicklung einer belastbareren Lösung für den Transfer personenbezogener Daten in Drittländer genutzt werden könnte (instruktiv Börding, CR 7/2016, 431 ff.).

In der Physik-Forschung scheint der Lösungsansatz für ein Deflector Shield zum Schutz von Raumschiffen ("Nothing is impossibe. Force fields - Shields up!", sciencefocus.com of  23 October 2009) längst gefunden ...

Autor:   RA Ulrich Gasper, LL.M. (Edinburgh)

Quellen:

Börding, "Ein neues Datenschutzschild für Europa", CR 7/2016, 431 ff.

EU-Commission Implementing Decision of 12 July 2016 on the Adequacy of the Protection Provided by the EU-U.S. Privacy Shield

Annexes to the EU-Commission Implementing Decision of 12 July 2016 on the Adequacy of the Protection Provided by the EU-U.S. Privacy Shield

EU-Commission, "EU-U.S. Privacy Shield: Frequently Asked Questions", MEMO/16/2462 of 12 July 2016

EU-Commission, "EU-U.S. Privacy Shield", Fact Sheet of 12 July 2016

EU-Kommission, "Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr", IP/16/2461 v. 12.7.2016

US-Department of Commerce, "Remarks by U.S. Secretary of Commerce Penny Pritzker at EU-U.S. Privacy Shield Framework Press Conference", 12 July 2016

US Department of Commerce, "How to Join Privacy Shield". 12 July 2016

US Department of Commerce, "The EU-U.S. Privacy Shield Framework FAQs", 12 July 2016

Schrems, "Privacy Shield" Statement of 12 July 2016

Albrecht, "EU-US 'Privacy Shield'", Background and Frequently Asked Questions (FAQ)", 11 July 2016

EU-Commission, „Statement by Vice-President Ansip and Commissioner Jourová on the occasion of the adoption by Member States of the EU-U.S. Privacy Shield”, 8 July 2016

EU-Commission, Implementing Decision on the Adequacy of protection provided by the EU-U.S. Privacy Shield, leaked by politico.eu, 8 July 2016

Stupp, „Privacy Shield agreement signed off despite vote abstentions”, EurActive.com of 8 July 2016

Cerulus, "Companies get data transfer safety net — for now", politico.eu of 8 July 2016

Brill, "Privacy Shield is the right replacement for Safe Harbour", EurActive.com of 7 July 2016

Moos/Schefzig, "'Safe Harbor' hat Schiffbruch erlitten", CR 2015, 625 ff.

EuGH, Urt. v. 6.10.2016 - C-362/14 - "Safe Harbor", CR 2015, 633 m.Anm. Härting

Verlag Dr. Otto Schmidt vom 10.07.2016 10:44

zurück zur vorherigen Seite