Artikel-29-Datenschutzgruppe: Erste Überprüfung des Privacy Shield

News

Die Artikel-29-Datenschutzgruppe, ein Zusammenschluss von Vertretern aller europäischer Datenschutzaufsichtsbehörden, hat in einer ersten Stellungnahme Hinweise zu der in den nächsten Monaten stattfindenden ersten gemeinsamen jährlichen Überprüfung von Privacy Shield mit der Europäischen Kommission veröffentlicht.

Was ist das Privacy Shield?

Der EU-US Privacy Shield ist ein Datenschutzübereinkommen zwischen der Europäischen Union und den USA, das im Kern aus einer Reihe von Zusicherungen der USA gegenüber der EU besteht.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Die darin geregelte Selbstzertifizierung der US-amerikanischen Unternehmen kann bislang zu einer Herleitung eines angemessenen Datenschutzniveaus im Sinne des § 4 b BDSG und Artikel 45 DSGVO herangezogenen werden.

Wie auf der offiziellen Webseite des EU-US-Privacy Shield ersichtlich, haben sich mittlerweile über 2000 Unternehmen dem Abkommen unterworfen.

Allerdings wurden bereits vor dem Inkrafttreten des Abkommens und seither immer wieder Stimmen laut, die den Privacy Shield für nicht mit europäischem Datenschutzrecht vereinbar halten.

Erste gemeinsame Überprüfung

Im September dieses Jahres wird die Kommission die erste der in Zukunft jährlich stattfindenden Überprüfungen des EU-US-Privacy Shield-Übereinkommens beginnen. An den Treffen werden neben Vertretern der US-Behörden auch Vertreter der europäischen Aufsichtsbehörden und Mitglieder der Artikel-29-Gruppe teilnehmen. Ziel der gemeinsamen Überprüfung ist es die Robustheit und Effektivität des Privacy Shield zu überprüfen.

Auf die erste Überprüfung folgt ein Bericht der Kommission an den Rat und das Europäische Parlament.

Die Artikel-29-Gruppe hat nun eine erste Stellungnahme mit Empfehlungen zur Beurteilung des Privacy Shields und zum Ablauf der gemeinsamen Überprüfung veröffentlicht.

Empfehlungen der Artikel-29-Datenschutzgruppe

Sinn der Stellungnahme vor der eigentlichen Beratung sei es laut Artikel-29-Datenschuztgruppe, der Kommission die Ansichten der Gruppe darzulegen, um in einen sinnvollen Dialog zu treten und die Gespräche produktiv zu gestalten.

Außerdem sind die Empfehlungen der Artikel-29-Gruppe im Vorfeld der Überprüfung laut der zuvor ergangenen Ankündigung der Stellungnahme in einer Pressemitteilung:

„[crucial] to ensure that the US authorities are able to constructively answer concerns on the concrete enforcement of the Privacy Shield decision.”

Inhaltlich entsprechen die momentanen Bedenken der Artikel-29-Datenschutzgruppe bereits in der Vergangenheit geäußerten Schwachstellen des Abkommens und spiegeln auch die momentanen Entwicklungen und Rechtsunsicherheiten durch den Wechsel in der US-Regierung wieder. Dies ist in diesem Fall von Belang, da sich das Abkommen wie bereits erwähnt, vor allem auf Zusicherungen der US-amerikanischen Bundesregierung stützt. Solche Garantien stehen aber hinter dem US-Recht zurück und sind daher anfälliger für einen Politikwechsel.

Kommerzielle / Wirtschaftliche Aspekte

Die Gruppe äußert Bedenken hinsichtlich der rechtlichen Garantien für automatische Entscheidungen, der Anwendung von Richtlinien durch das US-Wirtschaftsministerium, sowie Klarstellungen von noch zu offen formulierten Definitionen im Abkommen.

Exekutive und nationale Sicherheit

Im Bereich der Exekutive fordert die Artikel-29-Gruppe Auskünfte zu den neuesten Entwicklungen im US-Datenschutzrecht und in der Rechtsprechung. Insbesondere fordert die Gruppe:

 “precise evidence to show that bulk collection, when it exists, is ‘as tailored as feasible.”

Ausgabe von Fragebögen

Die Gruppe gibt an, sie habe zur Vorbereitung auf die Überprüfung Fragebögen für die US-Regierung erarbeitet, um sich während der Beratungen auf wichtige Fragestellungen konzentrieren zu können.

Warnschuss in Richtung europäische Kommission

In der Pressemitteilung kündigt die Gruppe außerdem an, sich intensive auf die Überprüfung vorzubereiten und gegebenenfalls im Nachgang der Überprüfung selbst einen Bericht über die Ergebnisse zu veröffentlichen. Dies ist eindeutig ein Warnschuss in Richtung der europäischen Kommission.

Diese hatte sich, nachdem das Ausmaß der NSA-Affäre bekannt wurde, beharrlich gegen die Aufforderung des europäischen Parlaments gestellt, das Safe-Harbor Abkommen zu kündigen. Am Ende entschied der europäische Gerichtshof nach jahrelanger Verhandlung, was zu diesem Zeitpunkt allen Beteiligten schon hätte klar sein müssen. Aufgrund der anlasslosen, massenhaften Sammlung von personenbezogenen Daten europäischer Bürger durch amerikanische Geheimdienste sei das Safe-Harbour-Abkommen ungültig. Der Vorbehalt einen eigenen Prüfbericht zu veröffentlichen, ist eine Mahnung der Datenschützer an die Kommission sich den Problemen des Abkommens dieses Mal anzunehmen und nicht die Augen vor ihnen zu verschließen.

Generell bietet diese erste jährliche Überprüfung eine gute Möglichkeit für Datenschützer einen Einblick in die Umsetzungen des Abkommens auf US-Seite zu bekommen, um dadurch mehr Anhaltspunkte für die Bewertung der Sicherheit von transatlantischen Datentransfers auf Basis des Privacy Shields zu erhalten.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.