Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.
Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.
Pressemitteilung der Europäischen Kommission vom 2. Februar 2016
Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).
Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.
Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.
Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.
Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.
Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.
Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.
US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.
Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.
Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.
Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.
Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.
Alternative Streitbeilegungsmechanismen werden kostenlos sein.
Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.
Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016
Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.
Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?
Die Antwort des US-Handelsministeriums, kurz und knapp:
1) Yes. 2) No. #PrivacyShield https://t.co/1y7q8TG4sy
— U.S. Commerce Dept. (@CommerceGov) 3. Februar 2016
Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.
Existing #SafeHarbor companies will be given a transition period to review & comply with new #PrivacyShield https://t.co/GnMKx52PbO
— U.S. Commerce Dept. (@CommerceGov) 3. Februar 2016
Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.
Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:
It’s presidential guidance binding to the Executive Branch. Doesn’t change laws, but directs precisely how gov acts. https://t.co/OIDLRvhNPV
— R. David Edelman (@rD44) 3. Februar 2016
Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)
Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.
Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.
Ankündigung
Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.