Besserer Datenschutz durch "Privacy Shield"?
Sind die privaten Daten europäischer Bürger in den Vereinigten Staaten sicher?
EU-Abgeordnete debattieren transatlantischen Datenaustausch
Die EU-Abgeordneten debattierten über den transatlantischen Datenaustausch. Infolge der Enthüllungen durch Edward Snowden über die Massenüberwachung elektronischer Kommunikation durch die USA und andere Nachrichtendienste sei zu wenig geschehen, um die Grundrechte der EU-Bürger zu schützen. So lautete das Urteil der Abgeordneten, nachdem der Europäische Gerichtshof das EU-US-Datenabkommen "Safe Harbor" im Oktober 2015 für ungültig erklärt hatte. Es ging um die Frage, ob der Nachfolger "Privacy Shield" ausreichend Schutz bietet.
Wozu dient der transatlantische Datentransfer?
Informationen über das Verhalten der Nutzer, also Daten, die durch Internetnutzer "produziert" werden, wie zum Beispiel Suchbegriffe, Seitenaufrufe und Likes, bilden ein wichtiges "Kapital" für Unternehmen wie Facebook und Google. So werden Daten beispielsweise in der EU gesammelt, verarbeitet und dann an Werbetreibende in den USA verkauft. Die Daten liefern einen wertvollen Einblick in das Konsumverhalten der Nutzer.
Als Teil ihrer alltäglichen Geschäftstätigkeit "verschieben" manche Unternehmen mit internationalen Wirtschaftsinteressen auch Daten europäischer Bürger zwischen Servern in der EU und den USA.
Letztendlich sind kleinere Firmen wie Werbe- und Marketingagenturen oftmals auf Serviceanbieter aus den USA angewiesen (zum Beispiel für automatisiertes Marketing) und schicken deshalb regelmäßig Daten dorthin.
Wozu dient ein EU-US-Abkommen für den transatlantischen Datentransfer?
Die Europäische Union engagiert sich sehr für einen starken Datenschutz. Der Schutz personenbezogener Daten ist in Artikel 8 der Charta der Grundrechte der Europäischen Union festgehalten. Des Weiteren wurde vor kurzem die EU-Datenschutzreform verabschiedet.
Da der Datenschutz in den USA anderen Standards unterliegt, entsteht ein Problem und es ergibt sich die Frage, ob personenbezogene Daten europäischer Bürger in die Vereinigten Staaten verlagert werden können, solange es dort keine ausreichenden Schutzstandards gibt.
Das "Safe Harbor"-Abkommen sollte das Problem "lösen". Die Regelung umfasste eine Reihe von Datenschutzbestimmungen, die von den US-Unternehmen erfüllt werden mussten, damit der Datentransfer in die USA legal war. US-Unternehmen hatten sich freiwillig auf eine Liste des US-Handelsministeriums setzen lassen und damit dazu verpflichtet, die im Abkommen festgelegten Datenschutzbestimmungen einzuhalten.
Die EU-Kommission hatte regelmäßig bewerten sollen, ob die US-Unternehmen wirklich ausreichend Schutz für die Daten europäischer Bürger bieten.
Ende des "Safe-Harbor"-Abkommens
2013 brachte Edward Snowden zutage, dass US-Nachrichtendienste Sammelerhebungen von Kommunikationsdaten betreiben, manchmal in Zusammenarbeit mit großen Internet-Konzernen.
Der Österreicher und Facebook-User Max Schrems erstattete gegen Facebook Anzeige bei der irischen Datenschutzbehörde, da Facebook in Irland seine europäische Zentrale hat. Von dort werden Daten europäischer Bürger in die USA transferiert. Die Klage von Max Schrems beinhaltete, dass Gesetz und Praxis in den USA seinen Daten keinen ausreichenden Schutz vor Überwachung böten. Die irischen Behörden wiesen die Klage zunächst ab und verwiesen auf das "Safe Harbor"-Abkommen. Das irische Höchstgericht verwies die Beschwerde von Schrems an den Europäischen Gerichtshof (EuGH).
Der Europäische Gerichtshof erklärte am 6. Oktober 2015 das Abkommen für ungültig. Die Urteilsbegründung verwies auf das Ausmaß der Massenüberwachung in den USA (der "Wesensgehalt des Grundrechts auf Achtung des Privatlebens" werde verletzt), sowie die eingeschränkten Möglichkeiten der EU-Bürger, Rechtsmittel einzulegen (der "Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz" werde verletzt).
Besserer Datenschutz durch "Privacy Shield"?
Seit "Safe Harbour" für ungültig erklärt wurde, bemühen sich die EU-Kommission und die US-Behörden, ein neues Abkommen zu beschließen. Das neue Abkommen soll die vom Europäischen Gerichtshof identifizierten Probleme berücksichtigen. Auch soll verhindert werden, dass nationale Datenschutzbehörden den Datenfluss von der EU in die USA abrupt stoppen, da dies schwerwiegende wirtschaftliche Konsequenzen hätte.
Im Februar 2016 haben sich die EU-Kommission und die Vereinigten Staaten auf einen neuen Rahmen für die transatlantische Übermittlung von Daten für kommerzielle Zwecke geeinigt. Der neue Rahmen, heißt "Privacy Shield", "EU-US-Datenschutzschild".
Datenschutzbehörden der EU-Mitgliedstaaten, die in der Artikel-29-Datenschutzgruppe zusammenarbeiten, äußern jedoch ernsthafte Vorbehalte. So habe zum Beispiel die NSA nicht genügend Informationen bereitgestellt, um die Massendatenspeicherung von aus der EU stammenden personenbezogenen Daten auszuschließen. Auch sei ein von den USA ernannter Ombudsmann nicht unabhängig und könne, im Falle eines Konflikts zwischen EU-Bürgern und US-Behörden, keine befriedigende Lösung liefern.
Im März diskutierte der Innenausschuss mit Experten über einen neuen Mechanismus zum Datentransfer zwischen der EU und den USA.
Mehrere Abgeordnete betonten, der neue Rahmen, der EU-US-Datenschutzschild ("Privacy Shield"), sei besser als das vorherige Datenabkommen "Safe Harbor". Der deutsche EU-Abgeordnete Axel Voss (EVP) führte an: ""Privacy Shield" ist nicht gleich "Safe Harbor", da es den effektiven Schutz der Datenschutzrechte der EU-Bürger sicherstellt." Zudem würde das neue Abkommen eine Überprüfung durch den Europäischen Gerichtshof bestehen, da es den Zugang der US-Regierung zu den Daten klar einschränke.
"Ich sehe deutliche Verbesserungen gegenüber "Safe Harbor"", sagte die deutsche EU-Abgeordnete Birgit Sippel (S&D). Dennoch äußerte sie Bedenken bezüglich einer möglichen Massendatenspeicherung.
Manche EU-Abgeordneten und Datenschützer zeigten sich gegenüber der neuen Regelung durchaus kritisch. Hinsichtlich der Schutzmaßnahmen vor einer Massenüberwachung sagte etwa die niederländische EU-Abgeordnete Sophie in 't Veld (ALDE): "Ich habe meine Zweifel, ob dieses Abkommen den "Schrems-Test" bestehen würde."
Verfahren für die Verabschiedung der "Angemessenheitsentscheidung" zum EU-US-Datenschutzschild und Rolle des EU-Parlaments
Die EU-Kommission stellt in einem "Angemessenheitsbeschluss" fest, ob ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Maß an Schutz personenbezogener Daten gewährleistet. Nur auf dieser Grundlage kann das Abkommen mit den USA in Kraft treten.
Die Kommission präsentiert einen Vorschlag, dem ein Ausschuss aus Vertretern der Mitgliedstaaten zustimmen muss. EU-Datenschutzbehörden geben eine Stellungnahme ab. Dann kann die Kommission den "Angemessenheitsbeschluss" verabschieden. Das EU-Parlament oder der Ministerrat können zu jedem Zeitpunkt die Kommission dazu auffordern, den "Angemessenheitsbeschluss" aufrechtzuerhalten, abzuändern oder aufzuheben.
Andere Abkommen zum Datentransfer
Gleichzeitig ist ein EU-US-Datenschutz-Rahmenabkommen ("Umbrella Agreement") in Vorbereitung. Hier ist die Zustimmung des EU-Parlaments nötig. Das "Umbrella Agreement" schafft auf hoher Ebene einen umfassenden Datenschutzrahmen für die Zusammenarbeit zwischen der EU und den USA bei der Strafverfolgung. Es soll "sektorale" Abkommen mit den USA komplettieren, die den Zugang zu Fluggastdaten (EU-US-Fluggastdatensatz / PNR-Abkommen) und Finanztransaktionen (SWIFT/TFTP-Abkommen) regeln. (Europäisches Parlament: ra)
eingetragen: 25.05.16
Home & Newsletterlauf: 06.07.16
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>