Kategorie: Privacy Shield
28. Oktober 2016
Irische Datenschützer haben eine Klage gegen das EU-US Privacy Shield bei dem Gericht der Europäischen Union (EuG) eingereicht. Wie ZDNet berichtet, beabsichtige die Nichtregierungsorganisation Digital Rights Ireland mit ihrer Klage die Annulierung des Privacy Shields, da dieses nicht ausreichend Schutz für personenbezogene Daten gewährleiste. Zurzeit prüft der EuG die Zulässigkeit der Klage. Sofern er diese bejaht, wird im nächsten Schritt über den ausreichenden Umfang des Datenschutzes durch das Privacy Shield entschieden.
Das Privacy Shield ist Mitte Juli 2016 in Kraft getreten und ersetzt das Safe Habor Abkommen, welches der EuGH im Oktober 2015 für unzulässig erklärt hatte. Das Privacy Shield bildet für US und europäische Unternehmen die Rechtsgrundlage für den transatlantischen Datenaustausch.
Nun bleibt die Entscheidung des EuG über die Zulässigkeit der Klage abzuwarten.
1. August 2016
Der Bundesrat hat die Bundesregierung in seiner Entschließung BR Drs 171/16 (B) vom 13. Mai 2016 dazu aufgefordert, einen Gesetzesentwurf vorzulegen, mit dem den Datenschutzaufsichtsbehörden von Bund und Ländern ein ausdrücklich normiertes Klagerecht gegen Angemessenheitsbeschlüsse der EU für Datentransfers in Drittstaaten eingeräumt wird.
Hierzu hat der Bundesrat den Entwurf eines § 38b BDSG vorgelegt, der eine Klagebefugnis der Datenschutzbehörden für eine objektive Feststellungsklage vorsieht.
Im Rahmen dieser Klage könnten die Aufsichtsbehörden die Rechtswidrigkeit von Angemessenheitsbeschlüssen, wie dem Privacy Shield, bereits vor einem möglicherweise rechtswidrigen Datentransfer festellen lassen.
In der Stellungnahme vom 15. Juli 2016 lehnt die Bundesregierung die Einräumung eines solchen Klagerechts mit der Begründung ab, dass derzeit bereits an der Anpassung des nationalen Datenschutzrechts an die Datenschutzgrundverordnung (DSGVO) gearbeitet werde.
Der Gesetzesentwurf werde in Konkretisierung der Vorschrift in Artikel 58 Absatz 5 DSGVO auch Rechtsbehelfe der Aufsichtsbehörden enthalten und dabei die einschlägige Rechtsprechung des EuGH berücksichtigen. Damit werde dem Wunsch des Bundesrates nach einem Gesetzesentwurf Rechnung getragen.
Dass dem Wunsch des Bundesrates durch eine Umsetzung der Vorgaben des Artikel 58 Absatz 5 DSGVO nicht Rechnung getragen werden kann, lässt sich dem Wortlaut der Vorschrift entnehmen.
Gemäß Artikel 58 Absatz 5 DSGVO sieht jeder Mitgliedstaat durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
Verfahren nach dieser Vorschrift setzen einen Verstoß gegen die Datenschutzgrundverordnung voraus. Die Rechtswidrikeit eines Angemessenheitsbeschlusses könnte daher erst in einem Verfahren festgestellt werden, in dem eine Verletzung der Rechte eines Betroffenen durch einen Datentransfer geltend gemacht wird.
Ab heute, den 01.August 2016 um 9 Uhr E.S.T., können sich Unternehmen mit Sitz in den USA ein Datenschutz-Zertifikat ausstellen. Die Ausstellung des Zertifikats begründet die Teilnahme des Unternehmens an dem Privacy Shield Programm mit der Folge, dass der Datenaustausch zwischen US-Unternehmen und ihrer europäischen Vertragspartner rechtlich legitimiert ist. Die Selbstzertifizierung ist für US-Unternehmen freiwillig. Sobald ein Unternehmen sich ein Selbstzertifikat ausstellt und an dem Privacy-Shield Programm teilnimmt, besteht die Verpflichtung den im Privacy Shield genannten Prinzipien zu folgen. Die den teilnehmenden Unternehmen obliegenden Verpflichtungen sind von den zuständigen US-Behörden gerichtlich durchsetzbar. Die Selbstzertifizierung ist ein Jahr gültig und kann erneut ausgestellt werden.
Durch die Teilnahme von US-Unternehmen an dem Privacy Shield entsteht ein höheres Datenschutzniveau, da EU-Bürger unter anderem ihre Rechte auch in den USA durchsetzen können. Auch die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Europäern sind eingeschränkt. Dies ist war nach dem bis Oktober 2015 geltenden Safe-Habor-Abkommen nicht möglich gewesen.
14. Juli 2016
Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.
Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.
Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.
Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.
Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.
Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von Safe-Harbour Ende 2015 große Unsicherheit herrschte.
29. Juni 2016
Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.
Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.
Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.
Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.
Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.
