Kategorie: Privacy Shield
9. August 2018
Die momentane Situation bei einem Datentransfer von Europa in die USA ist so klar wie unbefriedigend: Er kann auf das sog. “Privacy Shield” gestützt werden, dem Nachfolgeabkommen, das die Europäische Kommission mit den USA vereinbart hat, nachdem das frühere “Safe Harbour” – Abkommen Ende 2016 vom EuGH für unwirksam erklärt worden war.
Seit seinem Inkrafttreten bestehen jedoch ernsthafte datenschutzrechtliche Bedenken, ob eine auf diesem Privacy Shield allein basierende Übermittlung personenbezogener Daten zulässig ist. Erst zuletzt, am 26. Juni, hatte die Mehrheit des EU-Parlaments für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen des Privacy Shields ab 1. September gestimmt.
Vor diesem Hintergrund treffen die Nachrichten der Washington Post, die US-Regierung arbeite an einem nationalen Datenschutzgesetz, das für ein national einheitliches Datenschutzniveau sorgen soll, auf fruchtbaren Boden. Einen Anteil an dieser Initiative wird wohl auch die EU-Datenschutzgrundverordnung mit ihren weitgreifenden, auch den US-Markt nicht unberührt lassenden Regelungen, haben. Einige gewichtige US-Unternehmen hätten dieser Tage bereits an die Regierung in Washington appelliert, eine eigene Haltung zum Datenschutz zu formulieren, die weniger aggressiv sei, als jene aus Europa, so heißt es in dem Bericht. Die weitere Entwicklung dieses Vorhabens der US-Regierung wird daher mit Spannung verfolgt.
27. Juli 2018
Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der “umstrittene Privacy-Shield” zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.
Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden, welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.
Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.
14. Juni 2018
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.
Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.
Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen. Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.
13. Februar 2018
Mittlerweile sollte zumindest unseren regelmäßigen Lesern bekannt sein, dass am 25. Mai 2018 umfangreiche neue Datenschutzvorschriften in Form der europäischen Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten werden.
Und wenn Sie diese wiederholte Erinnerung jetzt als nervig empfinden, dann sind Sie damit nicht alleine!
Denn laut einer aktuellen repräsentativen Umfrage des Zentrums für Europäische Wirtschaftsforschung (ZEW) sind besonders deutsche Unternehmen genervt vom Datenschutz und fürchten Nachteile durch die bevorstehenden rechtlichen Neuerungen. So geht die Mehrheit der Befragten davon aus, dass die rechtskonforme Umsetzung die Geschäftsprozesse insgesamt verkomplizieren wird. Darüber hinaus wird die EU-DSGVO von deutschen Unternehmen überwiegend als zusätzliche Kosten- und Arbeitsbelastung empfunden.
Außerdem sehen europäische Unternehmen in den, im direkten Vergleich mit den USA und China, deutlich strengeren Regelungen zum Datenschutz teilweise einen deutlichen Wettbewerbsnachteil.
Doch zwingend ist diese Schlussfolgerung keineswegs. Denn gleichzeitig achten Verbraucher aber auch Unternehmen immer verstärkter auf den Schutz ihrer eigenen Daten. Und so können deutsche Unternehmen den vermeintlichen Nachteil auch ins Gegenteil verkehren und die vergleichsweise strengen Regelungen zum Datenschutz als Wettbewerbsvorteil gegenüber der außereuropäischen Konkurrenz betrachten. So auch Irene Bertschek, Leiterin des Forschungsbereichs “Digitale Ökonomie” am ZEW.
Weiteres interessantes Ergebnis der ZEW-Studie: Obwohl bei Nichteinhaltung der (neuen) datenschutzrechtlichen Vorgaben zum 25. Mai 2018 signifikant höhere Bußgelder drohen als bisher, hat sich mehr als die Hälfte der befragten Unternehmen der Informationswirtschaft nach eigenen Angaben noch gar nicht mit den Änderungen durch EU-DSGVO und BDSG-neu beschäftigt. Die ZEW-Umfrage bestätigt damit weitgehend die Ergebnisse von in diesem Zusammenhang durchgeführten Studien des IT-Branchenverbands “Bitkom” und des Cybersecurity-Anbieters “Watchguard”.
7. November 2017
Der EU-US Privacy Shield (Privacy Shield) soll die Daten von EU-Bürgern vor dem US-Spähapparat schützen. Kritiker haben jedoch ernste Zweifel, ob dies momentan der Fall ist.
Der transatlantische Datenpakt ist seit gut einem Jahr in Kraft und wurde jetzt einer ersten Überprüfung unterzogen. Der Privacy Shield ist der Nachfolger des Safe Harbor Abkommens, welches in einer aufsehenerregenden Entscheidung des EuGH aufgehoben wurde.
Zweck des Privacy Shield ist, in den USA ein ähnliches Datenschutzniveau zu erreichen wie in der EU, sodass die Daten der EU-Bürger in den USA genauso geschützt sind wie hier zu Lande. Dabei soll insbesondere erreicht werden:
- die Daten sollen sicher sein vor ausufernder Massenüberwachung durch US-Behörden (zB die NSA),
- eine Ombudsperson, die im US-Außenministerium etabliert wird, an die sich EU-Bürger direkt wenden können,
- keine Speicherung auf unbestimmte Zeit von personenbezogenen Daten von EU-Bürgern durch Unternehmen.
2400 Firmen haben sich seit der Einführung für den Schutzschirm zertifiziert. Dazu gehören Branchenriesen wie Amazon, Tesla, Facebook und Google. Die Wichtigkeit des Privacy Shield als Datenschutzregelung ist demnach nicht von der Hand zu weisen. Neben der Zertifizierung bleiben als rechtliche Grundlage nur Standardvertragsklauseln.
Die erste Überprüfung zeigt allerdings, dass der Privacy Shield immer noch umstritten ist und das zentrale Forderungen, wie die Ombudsperson, von Seiten der US-Regierung noch nicht umgesetzt sind. Zudem hat US-Präsident Trump bereits kurz nach Amtsantritt versucht den Datenschutz für Nichtamerikaner per Dekret aufzuheben.
Dennoch ist die verantwortliche EU-Justizkommissarin Vera Journová nicht unzufrieden mit dem Verlauf des ersten Jahres. Es wird zwar gemahnt, dass die Ombudsperson möglichst schnell ernannt werden sollte, aber sie ist sich sicher, dass die USA die Sorgen der Europäer inzwischen ernst nehmen.
Kritiker bemängeln allerdings weiterhin, dass zu wenig getan wird, um die bestehenden Ansprüche durchzusetzen und das der Privacy Shield die im Safe Harbor Urteil formulierten Anforderungen nicht erfüllt.
12. Oktober 2017
Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.
Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.
Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.
Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.
12. April 2017
In der vergangenen Woche hat das EU-Parlament eine sehr kritische Resolution zum EU-US Privacy Shield angenommen und damit die bereits seit der Existenz des Übereinkommens existierenden Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.
Zwar erkennt es Verbesserungen im Vergleich zu dem vor dem Privacy Shield bestehenden Verfahren nach der “Safe-Harbour”-Entscheidung, jedoch werden nach wie vor gravierende Mängel bei der Weitergabe von personenbezogenen Daten in die USA gesehen. Vor allem kritisieren die Parlamentarier
- einen ungenügenden Schutz personenbezogener Daten von Betroffenen aus der EU vor dem Zugriff durch US-Geheimdienste,
- keine durchsetzbaren und damit wirkungsvollen Rechte von Betroffenen auf Widerspruch, Löschung oder Auskunft gegenüber US-Unternehmen.
Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses des EU-Parlaments, fordert die EU-Justizkommissarin Jourovà auf, umgehend zu handeln und den Druck auf die US-Regierung zu erhöhen. Das Privacy Shield müsse zu einem echten Schutzschild gemacht werden, andernfalls gehe die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung zukünftig (erneut – wie schon bei “Safe Harbour” geschehen -) für ungültig erklärt.
Vor diesem Hintergrund ist es nach wie vor empfehlenswert, alternative rechtliche Absicherungen neben einem Beitritt im EU-US Privacy Shield für solche Unternehmen vorzusehen, für die eine Übermittlung von personenbezogenen Daten in die USA relevant ist.
6. März 2017
Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.
Sie werde dabei “nicht zögern, dafür stehe zu viel auf dem Spiel.”
Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.
Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.
10. Februar 2017
Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.
Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.
Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.
In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:
„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“
Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.
Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.
6. Februar 2017
Google hat vor einem Gericht im US-amerikanischen Philadelphia verloren und muss laut Urteil nun E-Mail-Daten, die auf ausländischen Servern gespeichert sind an die US-amerikanische Bundespolizei FBI herausgeben. Damit weicht das Gericht von der bisherigen Rechtsprechung ab. Erst kürzlich wurde in einem anderen Verfahren, Microsoft die Herausgabe von Daten, die auf Servern in der Europäischen Union gespeichert sind, erfolgreich verweigerte und auf den Rechtsweg in der EU verwiesen.
Als Begründung für die Herausgabepflicht von Google führte der Richter aus, dass Google ohnehin ständig Daten zwischen seinen Rechenzentren hin- und herkopiere, sodass es nur nötig sei, die vom FBI angefragten Daten in die USA zu transferieren, damit das FBI darauf zugreifen kann. Zwar kann dies eine Verletzung der Rechte des Nutzers darstellen, aber diese Verletzung würde in den USA stattfinden und damit wieder von dem Gesetz gedeckt sein. Der Datentransfer stelle damit ohnehin keinen Zugriff auf ausländische Daten dar.
Nach der Verkündigung des Urteils hat sich Google bereits zum Verfahren geäußert und angekündigt, gegen das Urteil nun Berufung einzulegen und auch weiterhin gegen zu weitgehende Herausgabebeschlüsse vorzugehen. Google erklärte zudem, dass man Daten aus technischen Gründen weltweit auf den Servern verteilt und es in einigen Fällen gar nicht ganz klar sei, wo die Daten gerade gespeichert sind. Aus dem Urteil geht hervor, dass allein Google jährlich rund 25.000 Auskunftsersuchen von US-amerikanischen Ermittlungsbehörden erhält.
