Europäische Kommission stellt EU-US-Datenschutzschild („Privacy Shield“) vor

01.03.2016
Nachdem die EU-Kommission bereits am 02.02.2016 eine politische Einigung über die Eckpunkte einer Nachfolgeregelung für den transatlantischen Datenaustausch in die USA bekanntgegeben hatte (wir berichteten) hat sie nun die Entwurfsfassung des Legislativpakets zum angekündigten EU-US-Datenschutzschild vorgelegt und den Entwurf eines Angemessenheitsbeschlusses angenommen. Mit diesem Angemessenheitsbeschluss soll bescheinigt werden, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Die Regelungen des EU-US-Datenschutzschildes sollen an die Stelle des früheren Safe-Harbor-Abkommens treten, das vom Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 für unwirksam erklärt wurde.

Sie beinhalten unter anderem die von den Unternehmen in den USA einzuhaltenden Datenschutzgrundsätze sowie schriftliche, im US-Bundesregister zu veröffentlichende Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, einschließlich Garantien und Beschränkungen für den Zugriff auf personenbezogene Daten durch US-Behörden.

Die Datenschutzgrundsätze des EU-US-Datenschutzschilds

Die Datenschutzgrundsätze des EU-US-Datenschutzschildes beinhalten detailliertere Hinweise und Transparenzpflichten (principle of notice), die Pflicht, datenschutzrechtlich Betroffenen die Möglichkeit eines Widerspruchs gegen eine Weiterübermittlung ihrer personenbezogenen Daten einzuräumen, bzw. deren Einwilligung vor der Weiterübermittlung besonderer Arten personenbezogener Daten einzuholen (principle of choice), weitergehende Verantwortlichkeiten im Falle der Weiterübermittlung (principle of accountability for onward transfer), die Verpflichtung, angemessene Maßnahmen zum Schutz personenbezogener Daten gegen Missbrauch zu ergreifen (principle of security), Grundsätze der Zweckbindung und zur Datenintegrität (principle of data integrity and purpose limitation), Regelungen zur Auskunft, der Berichtigung und Löschung (principle of access) sowie Pflichten zur Etablierung von Mechanismen zur effektiven Durchsetzung der datenschutzrechtlichen Pflichten sowie zur Haftung und zum Regress (principle of recourse, enforment and liability). Die allgemeinen Datenschutzgrundsätze werden ergänzt um weitergehende detaillierte Anforderungen (supplemental principles) bei bestimmten Übermittlungen, wie etwa der Übermittlung besonderer Arten personenbezogener Daten.

Zertifizierung und Kontrolle

Wie bereits unter dem Safe-Harbor-Abkommen können nur solche Unternehmen von der Angemessenheitsentscheidung der EU-Kommission profitieren, die sich im Rahmen einer Selbstzertifizierung auf die Einhaltung der Datenschutzgrundsätze verpflichtet haben. Diese Selbstzertifizierung ist jährlich zu erneuern. Die Einhaltung dieser Grundsätze soll unter dem EU-US-Datenschutzschild künftig jedoch vom US-Handelsministerium von Amts wegen fortwährend überwacht und geprüft und von der US Federal Trade Commission durchgesetzt werden. Hierzu soll das US-Handelsministerium künftig etwa falsche Angaben über eine Zertifizierung oder falsche Angaben in der Datenschutzerklärung der zertifizierten Unternehmen sowie deren Verfügbarkeit untersuchen, Abhilfemaßnahmen ergreifen und Verstöße an die entsprechenden Vollzugsbehörde melden.

Die zertifizierten Unternehmen werden vom US-Handelsministerium in einer für jedermann einsehbaren Liste aufgeführt. Unternehmen, die wiederholt gegen die Datenschutzgrundsätze verstoßen, werden von dieser Liste gestrichen.

Verbesserte Rechtsschutzmöglichkeiten gegen Missbrauch von Daten durch zertifizierte Unternehmen

Die Regelungen des EU-US-Datenschutzschilds sehen ferner verbesserte Rechtsschutzmöglichkeiten für EU-Bürger gegen den unberechtigten Umgang zertifizierter Unternehmen mit ihren personenbezogenen Daten vor. So haben die selbstzertifizierten Unternehmen zukünftig Beschwerden von Betroffenen innerhalb einer Frist von 45 Tagen nachzugehen. Ferner müssen sie sich einem für den Betroffenen unentgeltlichen Verfahren der alternativen Streitbeilegung unterwerfen und u.a. auf die Möglichkeit dieser Streitbeilegung in ihren Datenschutzerklärungen hinweisen. Darüber hinaus können sich die betroffenen EU-Bürger auch an ihre nationalen Datenschutzbehörden wenden, die die entsprechenden Beschwerden an das US-Handelsministerium weiterleiten und zusammen mit diesem bzw. der Federal Trade Commission dafür zu sorgen haben, dass der Beschwerde nachgegangen wird. Zur Verhinderung überlanger Verfahrensdauern hat das US-Handelsministerium bzw. die Federal Trade Commission innerhalb von 90 Tagen auf derart weitergeleitete Beschwerden zu antworten.

Als letztes Mittel steht den Betroffenen ferner zukünftig ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch zur Verfügung.

Zusicherungen der US-Regierung

Im Rahmen der Verhandlung über den EU-US-Datenschutzschild hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste u.a. schriftlich zugesichert, dass der Datenzugriff von US-Behörden aus Gründen der nationalen Sicherheit Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen sollen. US-Außenminister John Kerry hat zudem zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können, die Beschwerden und Anfragen von Personen nachgehen und ihnen mitteilen sollen, ob die einschlägigen Gesetze beachtet wurden.

Jährliche Überprüfung

Die Funktionsweise des Datenschutzschilds sowie der Zusicherungen und Zusagen der US-Regierung hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit sollen jährlich durch die Europäische Kommission und das US-Handelsministerium gemeinsam überprüft werden. Zu diesen Überprüfungen sollen auch Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzugezogen werden. Die Kommission wird ferner einmal pro Jahr interessierte Nichtregierungsorganisationen und sonstige Beteiligte einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern und dem Europäischen Parlament und dem Rat einen öffentlichen Bericht auf Grundlage dieser jährlichen Überprüfungen an vorlegen.

Feststellung der Kommission und nächste Schritte

Die Kommission kommt in ihrem Entwurf einer Angemessenheitsentscheidung zu dem Ergebnis, dass der Rechtsrahmen des EU-US-Datenschutzschilds den Vorgaben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 formuliert hatte, gerecht werde. Die US-Regierung habe überzeugende Zusicherungen dahingehend abgegeben, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet werde und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachten. Als maßgebliche Einschränkung sieht die EU-Kommission ausweislich der Erwägungsgründe zu dem Beschluss vor allem die von Präsident Obama im Januar 2014 erlassene Presidential Policy Directive 28 (PPD-28), die die Nutzung "massenhafter" Datenerfassung lediglich für sechs Zwecke im Bereich der nationalen Sicherheit gestatte, wie etwa die Terrorismusbekämpfung, die Spionageabwehr, das Verhindern der Verbreitung von Massenvernichtungswaffen sowie "internationale kriminelle Bedrohungen“. Angesichts dieser weiterhin möglichen massenhaften Datenerfassung sowie der Möglichkeit einer Änderung der Presidential Policy Directive 28 durch einen neuen Präsidenten bzw. eine neue Präsidentin nach den bevorstehenden Wahlen in den USA bestehen berechtigte Zweifel an der nachhaltigen Belastbarkeit der Feststellung der Kommission. Es bleibt daher abzuwarten, wie sich die Mitglieder des Ausschusses aus Vertretern der Mitgliedstaaten sowie der Artikel 29 Gruppe positionieren, der in einem nächsten Schritt von der EU-Kommission vor der Beschlussfassung konsultiert wird.

Diese brandaktuellen Themen sind auch Gegenstand unseres Mandantenworkshops „Im Auge des Sturms: EU-US Privacy Shield und Datenschutz-Grundverordnung“ auf dem „Compliance Day“ am 8. April 2016 in München. Kontaktieren Sie zu weiteren Details hierzu gerne Prof. Dr. Peter Bräutigam oder Dr. Daniel Rücker.