Kategorie: Safe Harbor
29. Juni 2016
Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.
Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.
Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.
Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.
Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.
8. Juni 2016
Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.
Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.
Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.
31. Mai 2016
Als Nachfolger des im Oktober vergangenen Jahres vom EuGH gekippten Safe Harbor Abkommens wurde zwischen den USA und der EU das Privacy Shield ausgehandelt, das künftig als Rechtsgrundlage für den Transfer personenbezogener Daten zwischen beiden Staatenbunden dienen soll.
Datenschutzbeauftragte der EU-Mitgliedsstaaten sowie Verbraucherschützer hatten das neue Abkommen bereits stark kritisiert und teilweise sogar als Rückschritt bezeichnet, da es nicht mit dem europäischen Datenschutzstandard vergleichbar sei.
Auch der europäische Datenschutzbeauftragte Giovanni Buttarelli gehe davon aus, dass das neue Abkommen vor europäischen Gerichten nicht bestehen werde, wie Medien berichten. Das Privacy Shield schütze europäische Bürger nicht hinreichend vor willkürlicher Massenüberwachung. Buttarelli fordert Transparenz, nachträgliche Korrekturmöglichkeiten, eine Kontrollaufsicht sowie die Gewährleistungen von Datenschutzrechten. Dass diese Forderungen keinen Einzug in das neue Abkommen gefunden haben, liegt in erster Linie an den USA. Dort wären entsprechende Gesetzesänderungen nötig, die jedoch kaum durchzusetzen wären. Stattdessen vertraut das Privacy Shield auf eine Selbstverpflichtung internationaler Unternehmen.
25. Mai 2016
Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.
US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.
Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.
Der Nachfolger des Safe Harbor Abkommens, das EU-US Privacy Shield, hat von dem zuständigen Ausschluss der EU-Kommission nicht die erforderliche Angemessenheit bescheinigt bekommen.
Die Entscheidung über die Angemessenheit des Privacy Shields ist ein EU-interner Schritt im Gesetzgebungsverfahren des transatlantischen Abkommens. Mit der Bescheinigung der Angemessenheit soll erreicht werden, dass personenbezogene Daten von Europäern in den USA mit einem ausreichenden Schutzniveau verarbeitet und gespeichert werden. Die Ausschussmitglieder sehen jedoch noch Nachbesserungsbedarf. Insbesondere durch die umfassende Datenüberwachung der NSA wird in das Recht auf informationelle Selbstbestimmung unverhältnismäßig stark eingegriffen.
Das EU-US Privacy Shield, welches als den Datentransfern zwischen der EU und den USA regeln und legitimieren soll, wurde von Anfang an von Datenschützern stark kritisiert.
Nachdem nun die Angemessenheitsentscheidung nicht erteilt wurde, zeichnet sich einmal mehr ab, dass auch das EU-US Privacy Shield von dem EuGH überprüft werden wird.
1. April 2016
Salto rückwärts bei der EU-Kommission. Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen im Oktober 2015 gekippt hatte, warteten Datenschützer und betroffene Unternehmen sehnsüchtig auf das auch als „Safe Harbor 2.0“ betitelte EU-US-Privacy Shield, nach welchem künftig ein legaler Transfer von personenbezogenen Daten von Europa in die Vereinigten Staaten von Amerika geregelt werden sollte. Der von der EU-Kommission im Februar dazu verabschiedete Entwurf sollte ursprünglich am 7. April 2016 in das Ausschussverfahren der Vertreter der Mitgliedstaaten übergehen, bis ein formaler Beschluss der Kommission ergeht. Nun hat diese völlig überraschend dem Privacy Shield den Stecker gezogen und heute ad hoc eine Presseerklärung veröffentlicht, wonach Datensätze nur noch in analoger Form in die USA übermittelt werden dürfen. Ein Kommissionsmitglied zu Journalisten: „Ob unter Safe Harbor, Privacy Shield oder bloßem guten Willen – die NSA hat doch überall die Nase drin, sobald EU-Bürger-Daten in die USA gelangen. Der Patriot Act öffnet da auch anderen Behörden Tür und Tor. Und seitens der US-Behörden hören wir auch nur Lippenbekenntnisse. Daher haben wir entschieden, dass wirklich sicherer Datentransfer künftig nur noch papiergebunden stattfinden kann und darf.“ Innereuropäischer Datentransfer sei davon nicht betroffen. „Wobei“, so der EU-Bürokrat weiter, „den Engländern traue ich auch nicht so…“
Statt auf eine elektronische Verschlüsselung solle nun vor allem auf manuelle Maßnahmen zur Datensicherheit gesetzt werden, wie etwa verstärktes Klebeband beim Verkleben der Versandkartons.
Ein Mitarbeiter der Facebook Deutschland GmbH, der – wie dort nicht unüblich – hier nur „Oli Ver“ genannt werden möchte, äußerte sich gegenüber datenschutzticker.de: „Natürlich müssen und wollen wir weiterhin einen legalen Weg finden, Nutzer-Daten in die USA zu übermitteln, und akzeptieren die Lösung der EU-Kommission daher ohne Wenn und Aber. Unser Praktikant druckt schon fleißig Nutzerprofile aus und heftet die Informationen in Ordner. Schon nächste Woche schicken wir den ersten Karton mit Akten nach Kalifornien. Hauptsache ist doch, wir haben jetzt Rechtssicherheit“.
Positiven Anklang fand die Entscheidung auch beim Verband Deutscher Papierfabriken e.V.: „Datenschutz war für uns bisher nie ein großes Thema, wir haben ja einen Reißwolf. Für uns ist das nun der Jackpot, ganz klar. Lobby-Arbeit in Brüssel haben wir aber nicht betrieben“, beteuerte der Pressesprecher gegenüber datenschutzticker.de.
18. März 2016
Der von der Europäische Union vorgelegte Entwurf des Privay-Shields als Nachfolger des Safe-Harbor-Abkommens ist von 27 Bürgerrechtsorgansisationen geschlossen abgelehnt worden. In einem offenem Brief an Isabelle Falque-Pierrotin, Chairman der Art.29-Gruppe der EU, das EU-Parlament und den Ministerrat bezeichneten sie den Entwurf als nicht mit den EuGH-Vorgaben vereinbar und lehnen diesen daher ab. Privacy Shield gefährde die betroffenen Nutzer und verletze Menschenrechte, unter anderem mit den Überwachungsprogrammen des US-Geheimdienstes NSA. Substanzielle Reformen wären nicht erkennbar. Das neue vorgeschlagene Abkommen weise diesselben Schwächen auf, die dazu führten, dass der Europäische Gerichtshof das vorherige Safe-Harbor-Abkommen für ungültig erklärte. Unterzeichner des Schreibens waren unter Anderem die American Civil Liberties Union (ACLU), Amnesty International, der Verein Digitale Gesellschaft, die Electronic Frontier Foundation (EFF), die Initiative European Digital Rights (EDRi) und La Quadrature du Net.
2. März 2016
Zu Beginn dieser Woche veröffentlichte die EU-Kommission in einer Pressemitteilung verschiedene Dokumente hinsichtlich des EU-US Privacy Shields`.
Nachdem der EuGH in seinem Urteil vom 06.10.2015 das Safe-Harbor-Abkommen für ungültig erklärte, obliegt es dem europäischen Gesetzgeber eine neue Rechtsgrundlage zu entwerfen, die den Datentransfer zwischen den EU-Mitgliedsstaaten und den USA legitimiert und dessen Grundsätze und Voraussetzungen regelt. Wie in einem früheren Blogbeitrag berichtet, stellte die EU-Kommission Anfang Februar die Rahmenbedingungen des neuen Regelungswerks – namentlich des EU-US Privacy Shields` – vor.
Das Privacy Shield enthält zum einen strenge Regularien für US-Unternehmen. Diese sollen demnach unter anderem verpflichtet werden, sich regelmäßig ihre Datenschutzkonformität zu bescheinigen, ihre Datenschutzerklärung im Internet zur Verfügung zu stellen und innerhalb von 45 Tagen auf Beschwerden zu reagieren. Bei Verstößen oder Nichtbeachtung drohen Sanktionen. Weiterhin sollen EU-Bürgen zukünftig auf verschiedenen Wegen Rechtsschutz garantiert werden, so dass sie bei Verletzung ihrer Datenschutzrechte gegen US- Behörden und Unternehmen gerichtlich und außergerichtlich vorgehen können. Ein weiteres neues Element in des Privacy Shields´ sind Verbote dahingehend, dass US-Behörden nur unter festgelegten Voraussetzungen personenbezogene Daten speichern dürfen.
Die EU-Kommission nahm außerdem einen sogenannten Angemessenheitsbeschluss an. Der Angemessenheitsbeschluss bescheinigt, dass die USA den Schutz von personenbezogenen Daten überzeugend zugesichert haben. In verschiedenen Dokumenten versichert die US-Regierung (Annexe I-VII), dass konkrete Auflagen für US-Unternehmen gelten und diese konsequent durchgesetzt werden, der Zugriff auf Daten von EU-Bürgern durch US-Behörden eindeutigen Beschränkungen unterliegen, EU-Bürger ihre Datenschutzrechte sowohl gegen US-Unternehmen als auch US-Behörden geltend machen können und somit hinreichend Rechtsschutz gewährleistet ist. Die Einhaltung und Umsetzung des Privacy Shields‘ wird zudem überwacht und regelmäßig geprüft.
Für EU-Bürger sollen durch diese Mechanismen vor allem mehr Transparenz hinsichtlich des Datentransfers sowie ein besserer Schutz ihrer Daten und eine vereinfachte Durchsetzung ihrer Rechte entstehen.
In den USA hat zwischenzeitlich der US-Präsident Obama den Judicial Redress Act unterzeichnet. Dieser garantiert EU-Bürgern Rechtsschutz in den USA. Außerdem werden in den USA nun weitere Vorkehrungen getroffen werden, um die vereinbarten Maßnahmen zu realisieren. Auf europäischer Seite wird nun die Artikel-29-Datenschutzgruppe zu den von der EU-Kommission vorgelegten Dokumenten beraten, bevor abschließend über das EU-US Privacy Shield entschieden wird.
Ob die vereinbarten Maßnahmen und deren Umsetzung tatsächlich zu einem besseren Datenschutzniveau beitragen werden, bleibt abzuwarten.
16. Februar 2016
US-Präsident Barack Obama gründet den Federal Privacy Council, einen Rat für Datenschutz, um genau diesen, nämlich den Datenschutz, zu stärken.
Das Thema Datenschutz wird in den USA deutlich anders behandelt als in Europa. Bereits das US-Amerikanische Volk hat eine ganz andere Einstellung zu privaten Daten und deren Schutz, als wir es hier gewohnt sind. Im Allgemeinen besitzen Behörden in den USA mehr und weitreichendere Zugriffsrechte, was wohl als Kernproblem beim Datenaustausch zwischen den USA und den EU-Staaten anzusehen ist. Im Oktober des vergangenen Jahres wurde aus diesem Grund das Safe Harbor Abkommen zwischen den USA und der EU vom Europäischen Gerichtshof gekippt (datenschutzticker.de berichtete hierüber). Anfang Februar diesen Jahres wurde das Nachfolgeabkommen „EU-US-Privacy-Shield“ erlassen, dessen Inhalte im Detail jedoch noch nicht bekannt sind.
Nun hat Präsident Barack Obama Initiative gezeigt und einen Rat für Datenschutz gegründet. Denn auch in den USA wächst das Verständnis für Datenschutz und die Bürger sensibilisieren sich zunehmend für die damit einhergehenden Gefahren. Damit das Vertrauen in die Datenverwaltung innerhalb der US-Behörden gestärkt wird, soll der Datenschutz in den Bundeseinrichtungen vereinheitlicht und transparenter organisiert werden. Der Rat wird vor allem bei der Erstellung und Implementierung von Datenschutzrichtlinien mitwirken, Empfehlungen ausarbeiten und auf vermehrte Weiterbildung innerhalb der Behörden hinwirken.
Der Rat besteht aus mindestens 24 Mitgliedern und setzt sich unter anderem aus hochrangigen Beamten des Weißen Hauses, den Datenschutzbeauftragten der Ministerien sowie den Datenschutzbeauftragten nationaler Geheimdienste zusammen.
3. Februar 2016
Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.
