Kategorie: Safe Harbor
1. April 2016
Salto rückwärts bei der EU-Kommission. Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen im Oktober 2015 gekippt hatte, warteten Datenschützer und betroffene Unternehmen sehnsüchtig auf das auch als „Safe Harbor 2.0“ betitelte EU-US-Privacy Shield, nach welchem künftig ein legaler Transfer von personenbezogenen Daten von Europa in die Vereinigten Staaten von Amerika geregelt werden sollte. Der von der EU-Kommission im Februar dazu verabschiedete Entwurf sollte ursprünglich am 7. April 2016 in das Ausschussverfahren der Vertreter der Mitgliedstaaten übergehen, bis ein formaler Beschluss der Kommission ergeht. Nun hat diese völlig überraschend dem Privacy Shield den Stecker gezogen und heute ad hoc eine Presseerklärung veröffentlicht, wonach Datensätze nur noch in analoger Form in die USA übermittelt werden dürfen. Ein Kommissionsmitglied zu Journalisten: „Ob unter Safe Harbor, Privacy Shield oder bloßem guten Willen – die NSA hat doch überall die Nase drin, sobald EU-Bürger-Daten in die USA gelangen. Der Patriot Act öffnet da auch anderen Behörden Tür und Tor. Und seitens der US-Behörden hören wir auch nur Lippenbekenntnisse. Daher haben wir entschieden, dass wirklich sicherer Datentransfer künftig nur noch papiergebunden stattfinden kann und darf.“ Innereuropäischer Datentransfer sei davon nicht betroffen. „Wobei“, so der EU-Bürokrat weiter, „den Engländern traue ich auch nicht so…“
Statt auf eine elektronische Verschlüsselung solle nun vor allem auf manuelle Maßnahmen zur Datensicherheit gesetzt werden, wie etwa verstärktes Klebeband beim Verkleben der Versandkartons.
Ein Mitarbeiter der Facebook Deutschland GmbH, der – wie dort nicht unüblich – hier nur „Oli Ver“ genannt werden möchte, äußerte sich gegenüber datenschutzticker.de: „Natürlich müssen und wollen wir weiterhin einen legalen Weg finden, Nutzer-Daten in die USA zu übermitteln, und akzeptieren die Lösung der EU-Kommission daher ohne Wenn und Aber. Unser Praktikant druckt schon fleißig Nutzerprofile aus und heftet die Informationen in Ordner. Schon nächste Woche schicken wir den ersten Karton mit Akten nach Kalifornien. Hauptsache ist doch, wir haben jetzt Rechtssicherheit“.
Positiven Anklang fand die Entscheidung auch beim Verband Deutscher Papierfabriken e.V.: „Datenschutz war für uns bisher nie ein großes Thema, wir haben ja einen Reißwolf. Für uns ist das nun der Jackpot, ganz klar. Lobby-Arbeit in Brüssel haben wir aber nicht betrieben“, beteuerte der Pressesprecher gegenüber datenschutzticker.de.
18. März 2016
Der von der Europäische Union vorgelegte Entwurf des Privay-Shields als Nachfolger des Safe-Harbor-Abkommens ist von 27 Bürgerrechtsorgansisationen geschlossen abgelehnt worden. In einem offenem Brief an Isabelle Falque-Pierrotin, Chairman der Art.29-Gruppe der EU, das EU-Parlament und den Ministerrat bezeichneten sie den Entwurf als nicht mit den EuGH-Vorgaben vereinbar und lehnen diesen daher ab. Privacy Shield gefährde die betroffenen Nutzer und verletze Menschenrechte, unter anderem mit den Überwachungsprogrammen des US-Geheimdienstes NSA. Substanzielle Reformen wären nicht erkennbar. Das neue vorgeschlagene Abkommen weise diesselben Schwächen auf, die dazu führten, dass der Europäische Gerichtshof das vorherige Safe-Harbor-Abkommen für ungültig erklärte. Unterzeichner des Schreibens waren unter Anderem die American Civil Liberties Union (ACLU), Amnesty International, der Verein Digitale Gesellschaft, die Electronic Frontier Foundation (EFF), die Initiative European Digital Rights (EDRi) und La Quadrature du Net.
2. März 2016
Zu Beginn dieser Woche veröffentlichte die EU-Kommission in einer Pressemitteilung verschiedene Dokumente hinsichtlich des EU-US Privacy Shields`.
Nachdem der EuGH in seinem Urteil vom 06.10.2015 das Safe-Harbor-Abkommen für ungültig erklärte, obliegt es dem europäischen Gesetzgeber eine neue Rechtsgrundlage zu entwerfen, die den Datentransfer zwischen den EU-Mitgliedsstaaten und den USA legitimiert und dessen Grundsätze und Voraussetzungen regelt. Wie in einem früheren Blogbeitrag berichtet, stellte die EU-Kommission Anfang Februar die Rahmenbedingungen des neuen Regelungswerks – namentlich des EU-US Privacy Shields` – vor.
Das Privacy Shield enthält zum einen strenge Regularien für US-Unternehmen. Diese sollen demnach unter anderem verpflichtet werden, sich regelmäßig ihre Datenschutzkonformität zu bescheinigen, ihre Datenschutzerklärung im Internet zur Verfügung zu stellen und innerhalb von 45 Tagen auf Beschwerden zu reagieren. Bei Verstößen oder Nichtbeachtung drohen Sanktionen. Weiterhin sollen EU-Bürgen zukünftig auf verschiedenen Wegen Rechtsschutz garantiert werden, so dass sie bei Verletzung ihrer Datenschutzrechte gegen US- Behörden und Unternehmen gerichtlich und außergerichtlich vorgehen können. Ein weiteres neues Element in des Privacy Shields´ sind Verbote dahingehend, dass US-Behörden nur unter festgelegten Voraussetzungen personenbezogene Daten speichern dürfen.
Die EU-Kommission nahm außerdem einen sogenannten Angemessenheitsbeschluss an. Der Angemessenheitsbeschluss bescheinigt, dass die USA den Schutz von personenbezogenen Daten überzeugend zugesichert haben. In verschiedenen Dokumenten versichert die US-Regierung (Annexe I-VII), dass konkrete Auflagen für US-Unternehmen gelten und diese konsequent durchgesetzt werden, der Zugriff auf Daten von EU-Bürgern durch US-Behörden eindeutigen Beschränkungen unterliegen, EU-Bürger ihre Datenschutzrechte sowohl gegen US-Unternehmen als auch US-Behörden geltend machen können und somit hinreichend Rechtsschutz gewährleistet ist. Die Einhaltung und Umsetzung des Privacy Shields‘ wird zudem überwacht und regelmäßig geprüft.
Für EU-Bürger sollen durch diese Mechanismen vor allem mehr Transparenz hinsichtlich des Datentransfers sowie ein besserer Schutz ihrer Daten und eine vereinfachte Durchsetzung ihrer Rechte entstehen.
In den USA hat zwischenzeitlich der US-Präsident Obama den Judicial Redress Act unterzeichnet. Dieser garantiert EU-Bürgern Rechtsschutz in den USA. Außerdem werden in den USA nun weitere Vorkehrungen getroffen werden, um die vereinbarten Maßnahmen zu realisieren. Auf europäischer Seite wird nun die Artikel-29-Datenschutzgruppe zu den von der EU-Kommission vorgelegten Dokumenten beraten, bevor abschließend über das EU-US Privacy Shield entschieden wird.
Ob die vereinbarten Maßnahmen und deren Umsetzung tatsächlich zu einem besseren Datenschutzniveau beitragen werden, bleibt abzuwarten.
16. Februar 2016
US-Präsident Barack Obama gründet den Federal Privacy Council, einen Rat für Datenschutz, um genau diesen, nämlich den Datenschutz, zu stärken.
Das Thema Datenschutz wird in den USA deutlich anders behandelt als in Europa. Bereits das US-Amerikanische Volk hat eine ganz andere Einstellung zu privaten Daten und deren Schutz, als wir es hier gewohnt sind. Im Allgemeinen besitzen Behörden in den USA mehr und weitreichendere Zugriffsrechte, was wohl als Kernproblem beim Datenaustausch zwischen den USA und den EU-Staaten anzusehen ist. Im Oktober des vergangenen Jahres wurde aus diesem Grund das Safe Harbor Abkommen zwischen den USA und der EU vom Europäischen Gerichtshof gekippt (datenschutzticker.de berichtete hierüber). Anfang Februar diesen Jahres wurde das Nachfolgeabkommen „EU-US-Privacy-Shield“ erlassen, dessen Inhalte im Detail jedoch noch nicht bekannt sind.
Nun hat Präsident Barack Obama Initiative gezeigt und einen Rat für Datenschutz gegründet. Denn auch in den USA wächst das Verständnis für Datenschutz und die Bürger sensibilisieren sich zunehmend für die damit einhergehenden Gefahren. Damit das Vertrauen in die Datenverwaltung innerhalb der US-Behörden gestärkt wird, soll der Datenschutz in den Bundeseinrichtungen vereinheitlicht und transparenter organisiert werden. Der Rat wird vor allem bei der Erstellung und Implementierung von Datenschutzrichtlinien mitwirken, Empfehlungen ausarbeiten und auf vermehrte Weiterbildung innerhalb der Behörden hinwirken.
Der Rat besteht aus mindestens 24 Mitgliedern und setzt sich unter anderem aus hochrangigen Beamten des Weißen Hauses, den Datenschutzbeauftragten der Ministerien sowie den Datenschutzbeauftragten nationaler Geheimdienste zusammen.
3. Februar 2016
Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.
26. Januar 2016
Wie Reuters vergangenen Freitag berichtete, habe die US-Regierung der EU die Schaffung eines “US privacy ombudsman” angeboten. Die eigens für das neue Safe Harbor Abkommen einzurichtende Behörde soll dem US-Außenministerium unterstehen und für Beschwerden von EU-Bürgern über den transnationalen Datentransfer zuständig sein. Unter Berufung auf vier an den Gesprächen beteiligten Quellen soll die Behörde sicherstellen, dass der Zugriff auf Daten von EU-Bürgern nicht exzessiv erfolgt.
Darüber hinaus hätten die Vereinigten Staaten eine Liste Regelungen und Maßnahmen vorgelegt, die die Kompetenzen ihrer Nachrichtendienste beschreiben und begrenzen. Auch soll zukünftig ein Rechtsschutz von EU-Bürgern gegen den unberechtigten Datenzugriff der US-Behörden möglich sein.
Derzeitig werde über die konkreten Aufgaben und Befugnisse der neuen Behörde verhandelt.
Der EuGH hatte in dem Urteil vom 06. Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt, da unter anderem nicht berücksichtigt wurde, ob es Rechtsvorschriften gibt, die etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, begrenzen. Außerdem blieb die Existenz eines wirksamen Rechtsschutzes gegen Eingriffe unbrerücksichtigt.
Der Vorschlag zu einer neuen Schiedsstelle kann daher als Schritt in die richtige Richtung verstanden werden. Ob durch die neue Behörde ein Teil der durch den EuGH aufgestellten Grundsätze erfüllt werden, wird erst anhand weiterer Informationen berurteilt werden können.
