Privacy Shield: Zweite jährliche Überprüfung des Datenschutzabkommens durch die Kommission

05.11.2018

Am 18./19. Oktober trafen sich Vertreter der EU Kommission und der US-Regierung in Brüssel zur zweiten jährlichen Überprüfung des Datenschutzabkommens „Privacy Shield“. Im Fokus des Review standen kommerzielle Aspekte sowie Datenverarbeitungen durch US-Dienste und Behörden für Zwecke der nationalen Sicherheit.

Das „Datenschutzschild“ fungiert seit August 2016 für die Praxis als wichtigste Rechtsgrundlage für transatlantische, gewerbliche Datentransfers. Es wurde zwischen der EU und den USA als Nachfolger des „Safe Harbour-Abkommens“ ausgehandelt. Mit Angemessenheitsbeschluss vom 12.07.2016 (C(2016) 4176) stellte die EU-Kommission fest, dass die USA unter den Voraussetzungen des Privacy Shields ein angemessenes Schutzniveau für Datenübermittlungen im Sinne von Art. 25 Absatz 2 RL 95/46 (heute Art. 45 DSGVO) gewährleisten, wie es die Datenübermittlung in Drittstaaten voraussetzt. Zum jetzigen Zeitpunkt sind mehr als 3900 Unternehmen unter dem Datenschutzschild zertifiziert. 

Safe Harbour

Zuvor hatte der Europäische Gerichtshof am 06.10.2015 in seiner viel beachteten „Schrems-Entscheidung“ (C-362/14) den das Safe-Harbour-Abkommen bestätigenden Angemessenheitsbeschluss der Kommission (E 2000/520/EG) für ungültig erklärt. Der EuGH hatte insbesondere mangelnde Überwachungs- und Kontrollmechanismen des Selbstzertifizierungssystems für private US-Unternehmen unter Safe Harbour, die weitreichenden Ausnahmen vom Schutz personenbezogener Daten in den USA aus Gründen nationaler Sicherheit sowie die mangelnde - in Art. 47 GRCh vorgesehene - Möglichkeit der Inanspruchnahme gerichtlichen Rechtsschutzes für EU-Bürger im Falle von Datenschutzverletzungen kritisiert. Zudem übte er Kritik daran, dass die Kommission ihren Angemessenheitsbeschluss und die Einhaltung der Safe-Harbour Grundsätze nie überprüft hatte.  

Neuerungen unter dem Privacy Shield

Die Grundsätze des Privacy Shields sehen mehr Rechte für EU-Bürger sowie strengere Auflagen für US-Unternehmen vor. Zwar ist die Selbstzertifizierung unter dem Datenschutzschild nach wie vor freiwillig, aber nach Wahl der registrierten Unternehmen sind ihre eingegangenen Verpflichtungen entweder durch die Federal Trade Commission (FTC) oder das Department of Transportation (DoT) durchsetzbar. Im Falle von Datenschutzverstößen können EU-Bürger zudem die US-Unternehmen direkt oder über eine Datenschutzbehörde kontaktieren sowie ein unabhängiges Schiedsgericht anrufen. Sollte es sich um Verstöße durch staatliche Stellen/Behörden handeln, kann eine Ombudsperson eingeschaltet werden.  

Erster Kommissionsbericht zur jährlichen Überprüfung

Seit Geltung der DSGVO ist eine Überprüfung der Angemessenheitsentscheidungen durch die Kommission mindestens alle vier Jahre vorgeschrieben (Art. 45 Abs. 3 EU-DSGVO). Die Einhaltung der Privacy Shield Grundsätze wird von der EU Kommission sogar jährlich überprüft und erstreckt sich auf Anwendung, Verwaltung, Überwachung und Durchsetzung des Rechtsrahmens durch die zuständigen US-Behörden und Einrichtungen. Die erste Überprüfung wurde im September 2017 in Washington eingeleitet und mit einem offiziellen Bericht der Kommission zur Überprüfung der Funktionsweise des Datenschutzschildes vom 18.10.2017 abgeschlossen. Zu diesem Zeitpunkt hatten sich bereits mehr als 2.400 Unternehmen zertifiziert. Im Vordergrund der Kritik und der Empfehlungen des Berichts standen die Aufforderung an das Handelsministerium, aktiver nach Unternehmen zu fahnden, die sich fälschlicherweise als zertifiziert ausgeben und zertifizierte Unternehmen regelmäßiger zu überprüfen um Schwachstellen zu identifizieren. Gefordert wurde zudem die Einsetzung einer dauerhaften Ombudsperson, die förmliche Besetzung des für den Datenschutz gegenüber staatlichen Stellen zuständigen „Privacy and Civil Liberties Oversight Boards“ (PCLOB) und eine rechtzeitigere und umfassende Information durch US-Behörden über wichtige Entwicklungen. 

Druck von den Verantwortlichen aus der EU

Die Handhabung des Privacy Shield durch die US-Regierung wird von einigen EU Institutionen kritisch gesehen. So hat beispielsweise das Europäische Parlament die Kommission mit Entschließung vom 05.07.2018 aufgefordert, das Datenschutzschild auszusetzen, sollten die USA ihren Verpflichtungen nicht kurzfristig nachkommen. Dem kam Kommissarin Vera Jourová zwar nicht nach, sie drohte jedoch offiziell mit der Aussetzung des Abkommens. Zuvor hatte die vorübergehende Ombudsperson (US-Ambassador Judith Garber) an der zweiten Sitzung des europäischen Datenschutzausschusses teilgenommen, in deren Rahmen ebenfalls u.a. Bedenken bezüglich der ausbleibenden Einsetzung einer ständigen Ombudsperson und der mangelnden Besetzung des PCLOB geäußert worden waren. 

Status quo

Auf den wachsenden Druck aus Brüssel und noch vor der Einleitung der zweiten jährlichen Überprüfung wurde am 28.09.2018 Manisha Singh von den USA als ständige Ombudsperson ernannt. Ihre Ernennung wurde von der EU grundsätzlich begrüßt. Allerdings wurden angesichts ihrer behördlichen Eingliederung (sie ist Unterstaatssekretärin im US-Außenministerium, tätig unter dem Staatssekretär für Wirtschaftswachstum, Energie und Umwelt) auch Zweifel an ihrer im Privacy Shield vorgesehenen Unabhängigkeit geäußert.

Zusätzlich wurden am 11.10.2018 der Vorsitz (Adam Klein) und zwei weitere Mitglieder (Ed Felton, Jane Nitze) des PCLOB vom US-Senat bestätigt. Abzuwarten bleibt, ob und wann die vielfach geforderten Berichte des PCLOB über die Durchführung von Überwachungstätigkeiten durch Nachrichtendienste der USA erstellt und veröffentlicht werden.

Der offizielle zweite Kommissionsbericht wird Ende November 2018 erwartet. Es bleibt abzuwarten, ob es den Verantwortlichen gelingen wird, bestehende Zweifel an der Effektivität des Datenschutzschildes auszuräumen und Fortschritte in der Umsetzung nachzuweisen. Ein erneutes Scheitern des Datenschutzabkommens wäre trotz aller Kritikpunkte aus Sicht der Praxis und digitalen Wirtschaft nicht zu begrüßen.  

Diese Artikel könnten Sie ebenfalls interessieren:

Nichtigkeitsklage gegen EU-U.S. Privacy Shield und koordinierte Prüfungsaktion der deutschen Datenschutzbehörden

EU-US Privacy Shield: Die „Privacy Shield List“ beginnt sich zu füllen

EU-US Privacy Shield: Der Nachfolger von Safe Harbor wurde verabschiedet

Europäische Kommission stellt EU-US-Datenschutzschild („Privacy Shield“) vor

Haben Sie Fragen? Kontaktieren Sie gerne: Pascal Schumacher

Practice Groups: Datenschutz, Regulierung & Governmental Affairs