8. August 2017
Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung “Government to strengthen UK data protection law” veröffentlicht.
Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit “retten”. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.
Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes “Drittland”) verlangt die Datenschutz-Grundverordnung in Art. 45 ein “angemessenes Schutzniveau” in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.
2. März 2016
Zu Beginn dieser Woche veröffentlichte die EU-Kommission in einer Pressemitteilung verschiedene Dokumente hinsichtlich des EU-US Privacy Shields`.
Nachdem der EuGH in seinem Urteil vom 06.10.2015 das Safe-Harbor-Abkommen für ungültig erklärte, obliegt es dem europäischen Gesetzgeber eine neue Rechtsgrundlage zu entwerfen, die den Datentransfer zwischen den EU-Mitgliedsstaaten und den USA legitimiert und dessen Grundsätze und Voraussetzungen regelt. Wie in einem früheren Blogbeitrag berichtet, stellte die EU-Kommission Anfang Februar die Rahmenbedingungen des neuen Regelungswerks – namentlich des EU-US Privacy Shields` – vor.
Das Privacy Shield enthält zum einen strenge Regularien für US-Unternehmen. Diese sollen demnach unter anderem verpflichtet werden, sich regelmäßig ihre Datenschutzkonformität zu bescheinigen, ihre Datenschutzerklärung im Internet zur Verfügung zu stellen und innerhalb von 45 Tagen auf Beschwerden zu reagieren. Bei Verstößen oder Nichtbeachtung drohen Sanktionen. Weiterhin sollen EU-Bürgen zukünftig auf verschiedenen Wegen Rechtsschutz garantiert werden, so dass sie bei Verletzung ihrer Datenschutzrechte gegen US- Behörden und Unternehmen gerichtlich und außergerichtlich vorgehen können. Ein weiteres neues Element in des Privacy Shields´ sind Verbote dahingehend, dass US-Behörden nur unter festgelegten Voraussetzungen personenbezogene Daten speichern dürfen.
Die EU-Kommission nahm außerdem einen sogenannten Angemessenheitsbeschluss an. Der Angemessenheitsbeschluss bescheinigt, dass die USA den Schutz von personenbezogenen Daten überzeugend zugesichert haben. In verschiedenen Dokumenten versichert die US-Regierung (Annexe I-VII), dass konkrete Auflagen für US-Unternehmen gelten und diese konsequent durchgesetzt werden, der Zugriff auf Daten von EU-Bürgern durch US-Behörden eindeutigen Beschränkungen unterliegen, EU-Bürger ihre Datenschutzrechte sowohl gegen US-Unternehmen als auch US-Behörden geltend machen können und somit hinreichend Rechtsschutz gewährleistet ist. Die Einhaltung und Umsetzung des Privacy Shields‘ wird zudem überwacht und regelmäßig geprüft.
Für EU-Bürger sollen durch diese Mechanismen vor allem mehr Transparenz hinsichtlich des Datentransfers sowie ein besserer Schutz ihrer Daten und eine vereinfachte Durchsetzung ihrer Rechte entstehen.
In den USA hat zwischenzeitlich der US-Präsident Obama den Judicial Redress Act unterzeichnet. Dieser garantiert EU-Bürgern Rechtsschutz in den USA. Außerdem werden in den USA nun weitere Vorkehrungen getroffen werden, um die vereinbarten Maßnahmen zu realisieren. Auf europäischer Seite wird nun die Artikel-29-Datenschutzgruppe zu den von der EU-Kommission vorgelegten Dokumenten beraten, bevor abschließend über das EU-US Privacy Shield entschieden wird.
Ob die vereinbarten Maßnahmen und deren Umsetzung tatsächlich zu einem besseren Datenschutzniveau beitragen werden, bleibt abzuwarten.
