Kategorie: Privacy Shield

Kritische Resolution des Europäischen Parlaments zum „Privacy Shield“

12. April 2017

In der vergangenen Woche hat das EU-Parlament eine sehr kritische Resolution zum EU-US Privacy Shield angenommen und damit die bereits seit der Existenz des Übereinkommens existierenden Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Zwar erkennt es Verbesserungen im Vergleich zu dem vor dem Privacy Shield bestehenden Verfahren nach der „Safe-Harbour“-Entscheidung, jedoch werden nach wie vor gravierende Mängel bei der Weitergabe von personenbezogenen Daten in die USA gesehen. Vor allem kritisieren die Parlamentarier

  • einen ungenügenden Schutz personenbezogener Daten von Betroffenen aus der EU vor dem Zugriff durch US-Geheimdienste,
  • keine durchsetzbaren und damit wirkungsvollen Rechte von Betroffenen auf Widerspruch, Löschung oder Auskunft gegenüber US-Unternehmen.

Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses des EU-Parlaments, fordert die EU-Justizkommissarin Jourovà auf, umgehend zu handeln und den Druck auf die US-Regierung zu erhöhen. Das Privacy Shield müsse zu einem echten Schutzschild gemacht werden, andernfalls gehe die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung zukünftig (erneut – wie schon bei „Safe Harbour“ geschehen -) für ungültig erklärt.

Vor diesem Hintergrund ist es nach wie vor empfehlenswert, alternative rechtliche Absicherungen neben einem Beitritt im EU-US Privacy Shield für solche Unternehmen vorzusehen, für die eine Übermittlung von personenbezogenen Daten in die USA relevant ist.

EU-Justizkommissarin droht die Privacy Shield Vereinbarung außer Kraft zu setzen

6. März 2017

Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.

Sie werde dabei „nicht zögern, dafür stehe zu viel auf dem Spiel.“

Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.

Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.

Wird Privacy Shield ein (weiteres) Opfer Donald Trumps Präsidentschaft?

10. Februar 2017

Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.

Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.

Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.

In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.

Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.

US-Gericht: Google muss ausländische E-Mails an FBI herausgeben

6. Februar 2017

Google hat vor einem Gericht im US-amerikanischen Philadelphia verloren und muss laut Urteil nun E-Mail-Daten, die auf ausländischen Servern gespeichert sind an die US-amerikanische Bundespolizei FBI herausgeben. Damit weicht das Gericht von der bisherigen Rechtsprechung ab. Erst kürzlich wurde in einem anderen Verfahren, Microsoft die Herausgabe von Daten, die auf Servern in der Europäischen Union gespeichert sind, erfolgreich verweigerte und auf den Rechtsweg in der EU verwiesen.

Als Begründung für die Herausgabepflicht von Google führte der Richter aus, dass Google ohnehin ständig Daten zwischen seinen Rechenzentren hin- und herkopiere, sodass es nur nötig sei, die vom FBI angefragten Daten in die USA zu transferieren, damit das FBI darauf zugreifen kann. Zwar kann dies eine Verletzung der Rechte des Nutzers darstellen, aber diese Verletzung würde in den USA stattfinden und damit wieder von dem Gesetz gedeckt sein. Der Datentransfer stelle damit ohnehin keinen Zugriff auf ausländische Daten dar.

Nach der Verkündigung des Urteils hat sich Google bereits zum Verfahren geäußert und angekündigt, gegen das Urteil nun Berufung einzulegen und auch weiterhin gegen zu weitgehende Herausgabebeschlüsse vorzugehen. Google erklärte zudem, dass man Daten aus technischen Gründen weltweit auf den Servern verteilt und es in einigen Fällen gar nicht ganz klar sei, wo die Daten gerade gespeichert sind. Aus dem Urteil geht hervor, dass allein Google jährlich rund 25.000 Auskunftsersuchen von US-amerikanischen Ermittlungsbehörden erhält.

Klage gegen Privacy Shield vor dem Gericht der EU anhängig

28. Oktober 2016

Irische Datenschützer haben eine Klage gegen das EU-US Privacy Shield bei dem Gericht der Europäischen Union (EuG) eingereicht. Wie ZDNet berichtet, beabsichtige die Nichtregierungsorganisation Digital Rights Ireland mit ihrer Klage die Annulierung des Privacy Shields, da dieses nicht ausreichend Schutz für personenbezogene Daten gewährleiste. Zurzeit prüft der EuG die Zulässigkeit der Klage. Sofern er diese bejaht, wird im nächsten Schritt über den ausreichenden Umfang des Datenschutzes durch das Privacy Shield entschieden.

Das Privacy Shield ist Mitte Juli 2016 in Kraft getreten und ersetzt das Safe Habor Abkommen, welches der EuGH im Oktober 2015 für unzulässig erklärt hatte. Das Privacy Shield bildet für US und europäische Unternehmen die Rechtsgrundlage für den transatlantischen Datenaustausch.

Nun bleibt die Entscheidung des EuG über die Zulässigkeit der Klage abzuwarten.

Kein eigenständiges Klagerecht der Datenschutzaufsichtsbehörden gegen Privacy Shield

1. August 2016

Der Bundesrat hat die Bundesregierung in seiner Entschließung BR Drs 171/16 (B) vom 13. Mai 2016 dazu aufgefordert, einen Gesetzesentwurf vorzulegen, mit dem den Datenschutzaufsichtsbehörden von Bund und Ländern ein ausdrücklich normiertes Klagerecht gegen Angemessenheitsbeschlüsse der EU für Datentransfers in Drittstaaten eingeräumt wird.

Hierzu hat der Bundesrat den Entwurf eines § 38b BDSG vorgelegt, der eine Klagebefugnis der Datenschutzbehörden für eine objektive Feststellungsklage vorsieht.

Im Rahmen dieser Klage könnten die Aufsichtsbehörden die Rechtswidrigkeit von Angemessenheitsbeschlüssen, wie dem Privacy Shield, bereits vor einem möglicherweise rechtswidrigen Datentransfer festellen lassen.

In der Stellungnahme vom 15. Juli 2016 lehnt die Bundesregierung die Einräumung eines solchen Klagerechts mit der Begründung ab, dass derzeit bereits an der Anpassung des nationalen Datenschutzrechts an die Datenschutzgrundverordnung (DSGVO) gearbeitet werde.

Der Gesetzesentwurf werde in Konkretisierung der Vorschrift in Artikel 58 Absatz 5 DSGVO auch Rechtsbehelfe der Aufsichtsbehörden enthalten und dabei die einschlägige Rechtsprechung des EuGH berücksichtigen. Damit werde dem Wunsch des Bundesrates nach einem Gesetzesentwurf Rechnung getragen.

Dass dem Wunsch des Bundesrates durch eine Umsetzung der Vorgaben des Artikel 58 Absatz 5 DSGVO nicht Rechnung getragen werden kann, lässt sich dem Wortlaut der Vorschrift entnehmen.

Gemäß Artikel 58 Absatz 5 DSGVO sieht jeder Mitgliedstaat durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

Verfahren nach dieser Vorschrift setzen einen Verstoß gegen die Datenschutzgrundverordnung voraus. Die Rechtswidrikeit eines Angemessenheitsbeschlusses könnte daher erst in einem Verfahren festgestellt werden, in dem eine Verletzung der Rechte eines Betroffenen durch einen Datentransfer geltend gemacht wird.

Selbstzertifizierung für US-Unternehmen möglich

Ab heute, den 01.August 2016 um 9 Uhr E.S.T., können sich Unternehmen mit Sitz in den USA ein Datenschutz-Zertifikat ausstellen. Die Ausstellung des Zertifikats begründet die Teilnahme des Unternehmens an dem Privacy Shield Programm mit der Folge, dass der Datenaustausch zwischen US-Unternehmen und ihrer europäischen Vertragspartner rechtlich legitimiert ist. Die Selbstzertifizierung ist für US-Unternehmen freiwillig. Sobald ein Unternehmen sich ein Selbstzertifikat ausstellt und an dem Privacy-Shield Programm teilnimmt, besteht die Verpflichtung den im Privacy Shield genannten Prinzipien zu folgen. Die den teilnehmenden Unternehmen obliegenden Verpflichtungen sind von den zuständigen US-Behörden gerichtlich durchsetzbar. Die Selbstzertifizierung ist ein Jahr gültig und kann erneut ausgestellt werden.

Durch die Teilnahme von US-Unternehmen an dem Privacy Shield entsteht ein höheres Datenschutzniveau, da EU-Bürger unter anderem ihre Rechte auch in den USA durchsetzen können. Auch die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Europäern sind eingeschränkt. Dies ist war nach dem bis Oktober 2015 geltenden Safe-Habor-Abkommen nicht möglich gewesen.

Privacy Shield in Kraft

14. Juli 2016

Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.

Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.

Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.

Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.

Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von  Safe-Harbour Ende 2015 große Unsicherheit herrschte.

 

Update zum Privacy Shield

29. Juni 2016

Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.

Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.

Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.

Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.

Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.