Einzelheiten zum EU-US Privacy Shield veröffentlicht

Am 29. Februar 2016 hat die Europäische Kommission die Dokumente zum neuen EU-US Privacy Shield veröffentlicht. Nach Ansicht der Kommission spiegelt der neue Rahmen die Vorgaben wider, die im Schrems-Urteil des Europäischen Gerichtshofs formuliert worden sind, durch welches das Safe-Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt wurde. In der von der Kommission vorgeschlagenen Adäquanzentscheidung heißt es, dass „die Vereinigten Staaten einen angemessenen Schutz personenbezogener Daten, die von der Europäischen Union an Organisationen in den Vereinigten Staaten unter dem EU-US Privacy Shield übermittelt werden, sicherstellen”.

Aus Sicht von US-Unternehmen stellt die neue Regelung in weiten Teilen eine Nachbildung des früheren Safe-Harbor-Abkommens dar. Die wichtigsten Neuerungen des Privacy Shields beziehen sich auf die Aufsicht und Überwachung der Wirksamkeit der Regelung durch die Aufsichtsbehörden und die Möglichkeiten von EU-Bürgern zur Einlegung von Rechtsbehelfen im Falle etwaiger Verstöße.

Darüber hinaus hebt die Kommission zwei bereits erreichte Erfolge im Datenschutzbereich hervor: Sie hat (i) die Reform der EU-Datenschutzbestimmungen abgeschlossen, welche für alle Unternehmen gelten, die Dienste auf dem EU-Markt anbieten (indem sie z.B. auf die neue Datenschutz-Grundverordnung verweist) und (ii) die Verhandlungen zu einem anderen Rahmenabkommen, dem EU-US Umbrella Agreement, welches für die transatlantische Übermittlung von Daten zu Strafverfolgungszwecken gilt, zu einem abschließenden Erfolg geführt. Dieses Rahmenabkommen erstreckt sich auf alle personenbezogenen Daten (beispielsweise Namen, Anschriften, Eintragungen im Strafregister), die zwischen der EU und den USA zum Zweck der Verhinderung, Aufdeckung, Ermittlung und Verfolgung von Straftaten, einschließlich terroristischer Straftaten, ausgetauscht werden. Es stellt an sich jedoch weder eine Rechtsgrundlage für Datenübertragungen noch eine Adäquanzentscheidung dar.

Die wichtigsten Implikationen des EU-US Privacy Shield auf Unternehmen sind die strengeren Auflagen für Unternehmen, die im Privacy Shield-Register geführt werden möchten, sowie die verbesserten Abhilfemöglichkeiten für EU-Bürger. Diese Pflichten und Mechanismen sind nachstehend zusammengefasst.

• Unternehmen, die im Privacy Shield-Register geführt werden, unterliegen strengeren Aufsichtsmechanismen, durch welche sichergestellt werden soll, dass sie die Regeln befolgen.
• Diese Unternehmen müssen auch zusichern, dass sie nicht mehr personenbezogene Daten sammeln werden, als sie für die Zwecke ihrer Dienste benötigen.
• Sie unterliegen auch strengeren Bedingungen für die Weiterübermittlung von Daten an Dritte.

Jedem EU-Bürger, der der Ansicht ist, dass personenbezogene Daten missbraucht wurden, werden eine Reihe von Abhilfemöglichkeiten zur Verfügung stehen:

• Direkt gegenüber dem Unternehmen: Unternehmen müssen Beschwerden innerhalb von 45 Tagen beantworten. Außerdem muss jedes zertifizierte Unternehmen, das Personaldaten zu EU-Bürgern verarbeitet, sich verpflichten, den Empfehlungen der zuständigen EU-Datenschutzbehörde nachzukommen. Andere Unternehmen können sich dieser Verpflichtung freiwillig unterwerfen.
• Datenschutzbehörde: EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, welche die Beschwerde dann an das US-Handelsministerium übermitteln, das diese innerhalb von 90 Tagen beantworten wird. Wenn das Handelsministerium die Angelegenheit nicht lösen kann, wird sie an die Federal Trade Commission übermittelt.
• Alternatives Streitbeilegungsverfahren: US-Unternehmen, die im Privacy Shield-Register geführt werden möchten, müssen sich zu Gunsten von EU-Bürgern einem neuen, kostenlosen Verfahren zur alternativen Streitbeilegung (Alternative Dispute Resolution) unterwerfen. Diese Unternehmen sind verpflichtet, Informationen über den Anbieter des Streitbeilegungsverfahrens zu veröffentlichen, einschließlich einer Anschrift, an welche Verbraucher ihre Beschwerden richten können, und eines Links zu der Webseite des von ihnen ausgewählten Anbieters.
• Kann ein Fall auf keine dieser Weisen gelöst werden, können sich Betroffene schließlich noch an das Privacy Shield-Gremium (Privacy Shield Panel) wenden, einer Streitbeilegungsstelle, in der verbindliche Schiedssprüche gegen selbstzertifizierte US-Unternehmen gefällt werden können.
• Im Bereich der nationalen Sicherheit können sich EU-Bürger an eine von den US-Nachrichtendiensten unabhängige Ombudsstelle wenden. Die Ombudsstelle wird individuellen Beschwerden von EU-Bürgern nachgehen, die fürchten, dass ihre personenbezogenen Daten in unrechtmäßiger Weise von US-Behörden im Bereich der nationalen Sicherheit verwendet wurden.

• Die EU-Kommission und das US-Handelsministerium werden einen neuen Mechanismus einrichten, durch welchen die Funktionsfähigkeit des neuen Abkommens, auch im Hinblick auf den Datenzugriff zu Zwecken der Strafverfolgung und der nationalen Sicherheit, durch eine gemeinsame jährliche Überprüfung überwacht werden soll. Die gemeinsame Überprüfung würde gegebenenfalls die Hinzuziehung von Vertretern der US-Nachrichtendienste umfassen und wird einen fortlaufenden Prozess umfassen, durch welchen das Funktionieren des Privacy Shields im Einklang mit den Grundsätzen und eingegangenen Verpflichtungen sichergestellt werden soll.
• Die Kommission wird außerdem einmal jährlich interessierte NGOs und sonstige Beteiligte zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im US-Datenschutzrecht und deren Auswirkungen auf Europäer zu erörtern.
• Die Kommission wird auf der Grundlage der jährlichen Überprüfung einen öffentlichen Bericht an das Europäische Parlament und den Rat vorlegen.
• US-Firmen sind verpflichtet, sich einmal jährlich für das Privacy Shield-Register selbst zu zertifizieren, und das US-Handelsministerium hat zu überwachen und aktiv zu überprüfen, ob deren Datenschutzpolitik den Standards des Abkommens genügt und die Unternehmen die Regeln, denen sie sich unterworfen haben, tatsächlich befolgen.
• Das US-Handelsministerium wird – u.a. anhand detaillierter Befragungen – überwachen, ob die Unternehmen die Privacy Shield-Grundsätze einhalten. Diese Überprüfungen werden durchgeführt, wenn beim US-Handelsministerium bestimmte Beschwerden eingehen, wenn ein Unternehmen keine befriedigenden Antworten gibt oder wenn es glaubhafte Beweise dafür gibt, dass ein Unternehmen die Privacy Shield-Grundsätze möglicherweise nicht einhält. Gegen Unternehmen, die diese Grundsätze nicht einhalten, werden Sanktionen verhängt und sie werden aus dem Register gestrichen.
• Die USA hat der EU schriftliche, im US-Bundesregister zu veröffentlichende Zusicherungen gegeben, dass der Datenzugriff durch öffentliche Behörden zu Zwecken der Strafverfolgung und der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterliegt, und hat versichert, dass es keine anlasslose oder massenhafte Überwachung personenbezogener Daten, die im Rahmen der neuen Vereinbarungen in die USA übertragen werden, gibt.

Ein aus Vertretern der 28 EU-Mitgliedstaaten bestehender Ausschuss wird jetzt die Rechtstexte und den Entwurf der Kommission zu einer Adäquanzentscheidung untersuchen. Außerdem wird das Europäische Parlament im März eine Anhörung zum Privacy Shield durchführen, und die Artikel 29-Datenschutzgruppe hatte angekündigt, dass sie am 12. oder 13. April ihre Stellungnahme abgeben wird. In der Zwischenzeit wird die US-Seite die notwendigen Vorkehrungen treffen, um den neuen Rahmen, den Überwachungsmechanismus und den Ombudsstellen-Mechanismus umzusetzen. Es ist noch unklar, wann genau mit einer Entscheidung gerechnet werden kann, aber Berichten zufolge wird ein Abschluss vor Ende Juni (dem Ablauf der holländischen EU-Ratspräsidentschaft) angestrebt. Unklar ist ferner auch, ob die EU-Kommission ihre Entscheidung im Einklang mit den Institutionen (Artikel 29-Datenschutzgruppe, EU-Parlament) treffen wird, oder auch einen gewissen Konflikt riskiert, und die Entscheidung einseitig trifft.

Das neue Privacy Shield ähnelt in seiner Struktur dem alten Safe-Harbor-Abkommen, es enthält jedoch wesentliche Änderungen bei den Garantien. Aus praktischer Sicht könnte die wichtigste Änderung für US-Unternehmen das Erfordernis einer erhöhten Sorgfaltspflicht bei der Weiterübermittlung von Daten von EU-Bürgern sein. Für EU-Bürger bestehen auf jeden Fall verbesserte Möglichkeiten zur Einlegung von Rechtsbehelfen.

Wie oben bereits angemerkt, ist das Privacy Shield noch Gegenstand umfangreicher Prüfungen durch EU-Institutionen und Datenschutzbehörden, und in diesem Zusammenhang stellt die Veröffentlichung der vollständigen Texte nur einen Schritt in einem umfangreichen politischen Prozess dar.

Auch wenn der Beschluss der EU-Kommission angenommen wird, so wird aus dem Entwurf bereits deutlich, dass die EU-Kommission damit rechnet, dass die neue Adäquanzentscheidung vor dem Europäischen Gerichtshof angefochten werden könnte – der Entwurf enthält 129 Erwägungsgründe, in denen beschrieben ist, wie die neue Entscheidung den im Schrems-Urteil formulierten Vorgaben des Gerichts Rechnung trägt.

Sollten Sie zu diesem Thema noch Fragen haben, stehen wir Ihnen jederzeit gerne mit unserem globalen Team aus Datenschutzexperten zur Verfügung. Zu weiteren aktuellen Meldungen zum Privacy Shield und anderen Fragen rund um das Thema Datenschutz besuchen Sie auch unseren Blog Data Protection Report.