Safe-Harbor, die EuGH-Entscheidung vom und Privacy-Shield was ist da los?

Transkript

1 Safe-Harbor, die EuGH-Entscheidung vom und Privacy-Shield was ist da Dr. Lutz Hasse Copyright: TLfDI Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) 1

2 Überblick A. Einführung Datenübermittlung in die USA B. Das Safe-Harbor-Entscheidung der EU-Kommission C. Standardvertragsklauseln und Binding-Corporate- Rules als Alternativen zu Safe-Harbor D. Die Enthüllungen Edward Snowdens und die Folgen E. Die EuGH-Entscheidung vom F. Privacy-Shield alter Wein in neuen Schläuchen? G. Ausblick 2

3 Ein Sicherer Hafen? Das Logo der neuen Vereinbarung: EU-US-Privatsphäre Schild, Copyright: 3

4 A. Einführung Datenübermittlung in die USA - Die Europäische Union (EU) und die Vereinigten Staaten von Amerika unterhalten enge Handelsbeziehungen. - Im Jahr 2012 wurden Waren und Dienstleistungen im Wert von ca Millionen Euro über den Atlantik gehandelt (Quelle: Die Transatlantische Wirtschaftspartnerschaft, KAS, Seite 11). - Die Übermittlung personenbezogener Daten ist ein wichtiger und unverzichtbarer Bestandteil der heutigen globalen, digitalen Wirtschaft 4

5 A. Einführung Datenübermittlung in die USA - Viele Transaktionen umfassen die Erhebung und Verwendung personenbezogener Daten, z. B. Namen Telefonnummer Geburtsdatum Wohnanschrift Kreditkartennummer Nationale Versicherungs- oder Personalnummer Geschlecht oder Familienstand 5

6 A. Einführung Datenübermittlung in die USA Beispiele für solche Transaktionen: Ihre personenbezogenen Daten werden in der EU entweder von einem hier ansässigen Unternehmen oder von einer Zweigniederlassung eines US-Unternehmens erhoben und dann in die USA übermittelt. Online-Erwerb von Waren und Dienstleistungen auf einer homepage eines US-Unternehmens. Nutzung von sozialen Medien (facebook, whatsapp) oder Cloud- Speicher-Diensten (Google Drive), die in den USA ihren Sitz haben. 6

7 Quelle: 7

8 A. Einführung Datenübermittlung in die USA - Die entscheidende Frage aus der Sicht des Datenschutzes ist, ob und inwieweit die personenbezogenen Daten von EU- Bürgern nach ihrer Transaktion in die USA auch dort hinreichend im Sinne des EU-Datenschutzrechtes geschützt sind. - Sowohl die Safe-Harbor Entscheidung der Europäischen Kommission als auch die Vereinbarung EU-US-Privacy-Shield dienen dem Versuch, einen Mindestdatenschutz von personenbezogenen Daten der EU-Bürger in den USA zu erreichen. Quelle: 8

9 B. Die Safe-Harbor-Entscheidung der EU- Kommission 1. Ausgangsgrundlage für die Safe-Harbor-Entscheidung: Artikel 25 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1996 (kurz: Datenschutzrichtlinie - DSRL), der die Grundsätze für die Übermittlung personenbezogener Daten in Drittländer regelt: - Artikel 25 Absatz 1 DSRL: Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in einem Drittland [ ] zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. 9

10 B. Die Safe-Harbor-Entscheidung der EU- Kommission - Artikel 25 Absatz 2 DSRL: Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Zweckbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoralen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt. - Artikel 25 Abs. 6 DSRL: Die Kommission kann nach dem Verfahren des Artikels 31 Abs. 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gem. Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. 10

11 B. Die Safe-Harbor-Entscheidung der EU- Kommission 2. Der Inhalt der Safe-Harbor-Entscheidung der EU- Kommission vom 26. Juli 2000 (2000/520/EG): - Die Kommission erließ damit keine umfassende Feststellung, dass in den USA insgesamt ein angemessenes Datenschutzniveau gewährleistet sei. - Vielmehr stellte die Kommission in Artikel 1 Safe-Harbor- Entscheidung lediglich fest, dass ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet ist, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen (sprich für den privaten Sektor) übermittelt werden. 11

12 B. Die Safe-Harbor-Entscheidung der EU- Kommission - Entscheidungsgrundlage für die EU-Kommission waren dabei die in dem Anhang 1 zur Safe-Harbor-Entscheidung vom US-Handelsministerium genannten sieben Grundsätze des Sicheren Hafens zum Datenschutz: Grundsatz 1: Informationspflicht Organisation muss Private informieren, zu welchem Zweck die Daten erhoben und verarbeitet werden. Grundsatz 2: Wahlmöglichkeit Organisation muss Privaten Wahlmöglichkeit geben, ob personenbezogene Daten an Dritte weitergegeben werden sollen oder für einen Zweck verwendet werden sollen, der mit dem ursprünglichen Erhebungszweck unvereinbar ist. Grundsatz 3: Weitergabe Organisation darf Daten nur an Dritte weitergeben, wenn sie die Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Grundsatz 4: Sicherheit Organisationen müssen Vorkehrungen treffen vor Verlust, Missbrauch, unbefugten Zugriff, Weitergabe, Änderung oder Zerstörung. 12

13 B. Die Safe-Harbor-Entscheidung der EU- Kommission Grundsatz 5: Datenintegrität Organisation muss durch angemessene Maßnahmen gewährleisten, dass Daten für den vorgesehenen Zweck hinreichend zuverlässig, genau, vollständig und aktuell sind. Grundsatz 6: Auskunftsrecht Private müssen Zugang zu den personenbezogenen Daten haben, die eine Organisation über sie besitzt und sie korrigieren, ändern oder löschen können, wenn diese Daten falsch sind. Grundsatz 7: Durchsetzung Beinhaltet unabhängige Verfahren, Kontrollmaßnahmen, Verpflichtungen zur Lösung von Problemen sowie Sanktionen. 13

14 B. Die Safe-Harbor-Entscheidung der EU- Kommission - Weiterhin bestand die Safe-Harbor-Entscheidung der Kommission aus einer FAQ-Liste (Anhang II), die insbesondere unter FAQ 6 das Verfahren für die Selbstzertifizierung beschrieb. Danach kam eine Organisation in den Genuss der Vorteile des sicheren Hafens ab dem Tag, an dem sie dem US-Handelsministerium (oder einer von diesem benannten Stelle) gegenüber erklärte, dass sie den Grundsätzen des sicheren Hafens beitritt. - Das US-Handelsministerium führt ein Verzeichnis der Safe-Harbor zertifizierten US-Unternehmen, die so genannte Safe-Harbor-List ( Auch wenn das Safe-Harbor- Zertifizierungsverfahren seit dem 31. Oktober 2016 gestoppt ist, behält das US-Handelsministerium die Fortführung dieser Liste bei. 14

15 B. Die Safe-Harbor-Entscheidung der EU- Kommission 3. Rechtsgrundlage für die Anwendung von Safe-Harbor ist 4b Abs. 3 BDSG: (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere könne die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für die betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. -> Entscheidungen der Kommission, die unter 4b Abs. 3 BDSG fallen, sind bindend und lassen keinen Spielraum für eine Korrektur im Einzelfall (so Schantz in: Wolf/Brink, Datenschutzrecht in Bund und Ländern, 4b BDSG Rz. 25). 15

16 Copyright: Karikatur by Klaus Stuttmann 16

17 C. Standardvertragsklauseln und Binding- Corporate-Rules als Alternativen zu Safe-Harbor Als weitere rechtliche Grundlagen, personenbezogene Daten in die USA zu übermitteln, bieten sich sowohl Standardvertragsklauseln als auch Binding-Corporate- Rules (BCRs) (auf der Grundlage von 4c Abs. 2 BDSG bzw. ab dem : Artikel 46 und 47 DS-GVO) an: 1. Standardvertragsklauseln: sind ein von der EU-Kommission entwickeltes Regelwerk, das die Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der EU gestattet. Unterschieden wird dabei zwischen Standard- Vertragsklauseln für Datenübermittlungen und Standard-Vertragsklauseln für Auftragsdatenverarbeitungen. Weitere Hinweise finden sich dazu unter: -> werden Standardvertragsklauseln unverändert übernommen, so ist eine aufsichtsbehördliche Genehmigung entbehrlich; soweit Standardvertragsklauseln maßgeblich modifiziert werden, ist u.u. eine aufsichtsbehördliche Genehmigung angezeigt (so Gola/Schomerus, BDSG, 4c Rz. 14). 17

18 C. Standardvertragsklauseln und Binding- Corporate-Rules als Alternativen zu Safe-Harbor 2. Binding-Corporate-Rules: Nach 4c Abs. 2 Satz 1 BDSG ist es auch zulässig, dass sich ausreichende Schutzgarantien zur Übermittlung von personenbezogenen Daten in Drittstaaten aus verbindlichen Unternehmensregelungen, auf englisch: Binding-Corporate-Rules (BCRs) ergeben. Hinsichtlich der inhaltlichen Ausgestaltung kommt es auf die Angemessenheit des Schutzniveaus an. Die BCRs sind aber von der Datenschutzaufsichtsbehörde des Bundeslandes, in dem der Konzern seinen Hauptsitz hat, zu prüfen und sodann zu genehmigen. 18

19 D. Die Enthüllungen Edward Snowdens und die Folgen - Sonntag, 09. Juni 2013: der damals 29-jährige Edward Snowden enttarnt sich in einem Interview mit der Zeitung The Guardian als Ex-NSA-Beschäftigter, der zuletzt für die Beraterfirma Booz Allen Hamilton auf Hawaii gearbeitet habe. Als Beschäftigter dieser Firma könne er jeden Menschen überwachen, sogar den US-Präsidenten. Snowden: Du musst nichts Falsches getan haben, aber du kannst durch jemanden in Verdacht geraten. Dann durchleuchten sie alles, was du jemals getan hast, jeden Freund, mit dem du diskutiert hast. (Die Enthüllungen Edward Snowdens sind auch auf der Seite des TLfDI in dessen 10. Tätigkeitsbericht zum Datenschutz, Öffentlicher Bereich, Nr. 2.2 ab Seite 20 nachzulesen: ffentlicher_bereich_web.pdf) 19

20 D. Die Enthüllungen Edward Snowdens und die Folgen - Reaktion der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) mittels Pressemitteilung ( Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten ) vom 24. Juli 2013, in der es unter anderem heißt: Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des sicheren Hafens (Safe Harbor) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. [ ] Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine hohe Wahrscheinlichkeit besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. 20

21 D. Die Enthüllungen Edward Snowdens und die Folgen Fortsetzung des Zitats aus der Pressemitteilung der DSK vom : Die Grundsätze der Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. [ ] Deshalb fordert die DSK die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv [ ] begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten [ ] erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor- Abkommens und der Standardvertragsklauseln auszusetzen sind. 21

22 E. Die EuGH-Entscheidung vom Die Vorgeschichte des EuGH-Urteils: - Der österreichische Facebook-Nutzer M. Schrems beschwerte sich bei der irischen Datenschutzbehörde, weil er vor dem Hintergrund der Enthüllungen Edward Snowdens über die Aktivitäten der US- Geheimdienste der Ansicht war, seine von Facebook Irland an den Server in den USA übermittelten Nutzerdaten seien in den USA nicht hinreichend geschützt. Sein Ziel war es, die Datenübermittlung in die USA zu stoppen. - Die Irische Datenschutzbehörde wies die Beschwerde von M. Schrems mit dem Hinweis auf die verbindliche Safe-Harbor- Entscheidung der EU-Kommission zurück. - Daraufhin rief M. Schrems den irischen High Court an. Dieser legte dem EuGH die Frage zur Entscheidung vor, ob die Safe-Harbor- Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindere, eine solche Beschwerde zu prüfen und gegebenenfalls die angefochtene Datenübermittlung auszusetzen. 22

23 E. Die EuGH-Entscheidung vom Die wesentlichen Feststellungen aus dem EuGH-Urteil (Az. C-362/14): a) Der EuGH hat die Safe-Harbor-Entscheidung der Kommission (2000/520/EG) insgesamt für ungültig erklärt. Begründung: Der Erlass einer solchen Entscheidung erfordere die gebührend begründete Feststellung der Kommission, dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleiste, das dem in der Rechtsordnung der der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Eine solche begründete Feststellung habe ich die EU-Kommission, so der EuGH, aber gerade nicht dargelegt. Die Grundsätze des sicheren Hafens gälten nur für selbstzertifizierte US-Organisationen, ohne dass von den US-Behörden die Einhaltung der Safe-Harbor-Grundsätze verlangt werde. 23

24 E. Die EuGH-Entscheidung vom Darüber hinaus weist der EuGH auf folgenden eklatanten Mangel der Safe-Harbor-Entscheidung der EU-Kommission hin: Zudem ermöglicht die Entscheidung 2000/520 [also die Safe-Harbor- Entscheidung der Kommission] es, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten; dabei enthält die Entscheidung keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen. (EuGH, Urteil, vom , Leitsatz 7 der Juris-Entscheidung) 24

25 E. Die EuGH-Entscheidung vom b) Eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze, so der EuGH, den Wesensgehalt des durch Artikel 7 der Charta der Grundrechte der Europäischen Union garantierten Grundrechts auf Achtung des Privatlebens. (EuGH, Urteil vom , Rz der Juris-Entscheidung) c) Ferner verletzte eine Regelung das in Artikel 47 der Charta der Grundrechte der Europäischen Union verankerte Grundrecht auf wirksamen gerichtlichen Rechtsschutz, wenn sie keine Möglichkeit für den Bürger vorsehe, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken. (EuGH, Urteil vom , Rz. 95 der Juris-Entscheidung) 25

26 E. Die EuGH-Entscheidung vom d) Ferner hat der EuGH den Datenschutz-Aufsichtsbehörden ein Klagerecht für den Fall eingeräumt, dass sie die gerügten Datenschutzverstöße eines Betroffenen für begründet erachten: Auszug aus dem EuGH-Urteil: Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen. (EuGH, Urteil vom , Rz. 65 der Juris-Entscheidung) 26

27 E. Die EuGH-Entscheidung vom Diese Aufforderung des EuGH ist die Bundesregierung insoweit nachgekommen, dass sie in ihrem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU DSAnpUG-EU) (Drucksache 18/11325) vom folgenden 21 BDSG-neu aufgenommen hat (der Gesetzentwurf ist noch nicht vom BT beschlossen!): 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission (1) Hält eine Aufsichtsbehörde einen Angemessenheitsbeschluss der Europäischen Kommission, einen Beschluss über die Anerkennung von Standardschutzklauseln oder über die Allgemeingültigkeit von genehmigten Verhaltensregeln, auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbehörde ankommt, für rechtswidrig, so hat die Aufsichtsbehörde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen. (2) Für Verfahren nach Absatz 1 ist der Verwaltungsrechtsweg gegeben. Die Verwaltungsgerichtsordnung ist nach Maßgabe der Absätze 3 bis 6 anzuwenden. [ ] 27

28 E. Die EuGH-Entscheidung vom Konsequenzen der EuGH-Entscheidung auch für Standardvertragsklauseln und Binding-Corporate Rules? Leider keine explizite Aussage in seinem Urteil getroffen hat der EuGH zu der Frage, ob seine Urteilsgründe auch auf für die genannten Standardvertragsklauseln und die Binding-Corporate-Rules (BCRs) Anwendung finden. Angeblich soll aber der Berichterstatter des EuGHs im Schrems-Urteil, der deutsche Richter Thomas von Danwitz, in einer Veranstaltung Ende des Jahres 2015 zum Ausdruck gebracht haben, dass die Urteilsgründe des EuGH auch sinngemäß auf Standardvertragsklauseln und BCRs Anwendung finden. Die Artikel-29-Datenschutzgruppe (ein Gremium aus Vertretern der nationalen Datenschutzbehörden, dem europ. Datenschutzbeauftragten und einem Vertreter der EU-Kommission) hat sich in der Bewertung der EuGH-Entscheidung leider nicht zu dieser Frage positioniert. 28

29 F. Privacy-Shield alter Wein in neuen Schläuchen? 1. Der Weg zum Privacy-Shield-Abkommen als Nachfolger der Safe- Harbor-Entscheidung: - Die Europäische Kommission trat nach dem Schrems-Urteil des EuGH in Verhandlungen mit der US-Regierung ein um eine Nachfolgevereinbarung zu Safe-Harbor abschließen zu können Februar 2016: EU-Justizkommissarin Vera Jourová verkündete den Abschluss der Verhandlungen der EU-Kommission mit den USA zum neuen Datentransfermechanismus EU-US-Privacy-Shield Juli 2016: Die Europäische Kommission fasst den Beschluss zur Adäquanz der Nachfolgevereinbarung EU-US-Privacy-Shield August 2016: Seit diesem Tag nimmt das US-Handelsministerium Zertifizierungsanträge von US-Unternehmen entgegen. 29

30 F. Privacy-Shield alter Wein in neuen Schläuchen? 2. Wesentlicher Inhalt des EU-US-Privacy-Shield: Wie funktioniert das Privacy-Shield? Das Abkommen formuliert (wie die Safe-Harbor-Entscheidung) sieben Datenschutzgrundsätze: - Informationspflicht - Datenintegrität und Zweckbindung - Bestehen einer Wahlmöglichkeit - Sicherheit - Auskunftsrecht - Rechtsschutz, Durchsetzung und Haftung - Verantwortlichkeit für die Weitergabe personenbezogener Daten 30

31 F. Privacy-Shield alter Wein in neuen Schläuchen? Wie funktioniert die Zertifizierung? Es handelt sich dabei um eine Selbstzertifizierung, d.h. das Unternehmen verpflichtet sich ggü. dem US-Handelsministerium zur Einhaltung der normierten Grundsätze und beantragt die Aufnahme in die Datenschutzliste, die vom US-Handelsministerium geführt wird. Um aufgenommen zu werden. Muss das Unternehmen den Kontrollbefugnissen bestimmter US-Behörden unterliegen, ferner öffentlich erklären, dass es die Grundsätze des Privacy-Shield einhält und seine Datenschutzbestimmungen offen legen. Welche rechtlichen Verbesserungen bietet Privacy-Shield? Es wurde ein öffentlicher Ombudsmechanismus eingeführt, der in Europa lebenden Personen Zugang zu einer unabhängigen Ombudsperson und damit zu einer kostenfreien Prüfung des eigenen Anliegens verschafft. Bei der Ombudsstelle handelt es sich um einen leitenden Beamten im US-Außenministerium, der seine Tätigkeit unabhängig von den US-Geheimdiensten ausübt. 31

32 F. Privacy-Shield alter Wein in neuen Schläuchen? Welche Rechte habe ich als Betroffener? Ein am Datenschutzschild beteiligtes Unternehmen muss den Betroffenen einer Datenübermittlung unter anderem darüber auf Antrag informieren, - welche Arten von personenbezogenen Daten es verarbeitet, - warum es die personenbezogenen Daten des Betroffenen verarbeitet, - ob es beabsichtigt, die personenbezogenen Daten des Betroffenen an ein anderes Unternehmen weiterzugeben und wenn ja, aus welchen Gründen, - bei welcher unabhängigen Beschwerdestelle in der EU oder in den USA der Betroffene Beschwerde einlegen kann, - dass es auf rechtmäßige Anfrage von US-Behörden gehalten sein kann, Informationen über einen Betroffenen offen zu legen. 32

33 F. Privacy-Shield alter Wein in neuen Schläuchen? Welche Rechte habe ich als Betroffener? Beschwerdeeinlegung bei einer unabhängigen Beschwerdestelle, der sich das selbstzertifizierte Unternehmen unterworfen hat: Diese Beschwerdestelle ist dann ermächtigt, das Unternehmen anzuweisen bzw. zu sanktionieren. Beschwerdeeinlegung beim US-Handelsministerium, ausschließlich über eine Datenschutzbehörde Beschwerdeeinlegung bei der Federal-Trade-Commission ( Privacy-Shield Schiedsmodell (siehe dazu Anlage 2 des Durchführungsbeschlusses der EU-Kommission vom (Amtsblatt der EU vom , L207/1 ff): das Datenschutzschild-Panel ist ein Schiedsforum, das aus drei neutralen Schiedsrichtern besteht und eine Streitbeilegung ohne Anrufung eines Gerichts ermöglicht. Seine Entscheidungen sind jedoch verbindlich und vor US-Gerichten durchsetzbar. Bedingung: Vorherige Ausschöpfung des unabhängigen Beschwerdeverfahrens. Anrufung der Ombudsstelle: für Fälle, in denen personenbezogene Daten des Betroffenen durch U.S.-amerikanische Behörden zu Unrecht erhoben worden sind. Die Ombudsstelle prüft dabei, ob die ihr angezeigten Sachverhalte mit dem U.S.-Recht in Einklang stehen. 33

34 F. Privacy-Shield alter Wein in neuen Schläuchen? 3. Kritik am EU-US-Privacy-Shield-Abkommen Schärfere Garantien zum Schutz der Unabhängigkeit der Ombudsperson: Die Artikel 29-Datenschutzgruppe (ein Gremium aus Vertretern der nationalen Datenschutzbehörden, dem europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission, das die EU-Kommission in allen Fragen des Datenschutzes berät) kritisiert in ihrer Pressemitteilung vom 1. Juli 2016 die aus ihrer Sicht noch nicht genügend ausgestaltete Unabhängigkeit der Ombudsperson. Fehlende Garantien zur Vermeidung massenhafter Datenerhebung durch US-Behörden: Auch diesen Vorwurf der massenhaften Datenerhebung durch US-Behörden (insbes. Geheimdienste), der ja bereits der Safe-Harbor-Entscheidung zur Ungültigkeit verhalf erhebt die Artikel 29-Datenschutzgruppe. 34

35 Copyright: 35

36 G. Ausblick 1. Auswirkungen der Amerika-First-Politik von Donald Trump Für erste Verunsicherungen auch im Hinblick auf das EU-US-Privacy-Shield- Abkommen hatte die Executive Order von Präsident Trump zur Verbesserung der öffentlichen Sicherheit vom 25. Januar 2017 gesorgt, die Nicht-US-Bürger vom Schutz des Privacy Act ausnimmt. EU-Kommissarin Jourová hatte daraufhin erklärt, dass sie das EU-US-Privacy-Shield-Abkommen ohne Zögern außer Kraft setzen wolle, wenn die US-Regierung an den ausgehandelten Voraussetzungen etwas signifikant ändere. Kritische Resolution des EU-Parlaments vom 06. April 2017: In dieser Resolution fordert das EU-Parlament unter anderem die Kommission auf, sicherzustellen, dass das Privacy-Shield-Abkommen den Vorgaben der EU-Grundrechte-Charta genügt. Als Ursache für die Sorge der EU-Parlamentarier wird eben jene Executive Order von Präsident Trump benannt. 36

37 G. Ausblick 2. Zweites Verfahren von M. Schrems am Irischen High-Court gegen Standardvertragsklauseln von Facebook Möglicherweise wird der EuGH schon bald erneut zur Frage des Datenschutzniveaus in den USA Stellung beziehen müssen: Max Schrems hat bereits im Jahr 2016 eine Klage beim irischen High- Court gegen die von Facebook Ireland verwendeten Standard- Vertragsklauseln eingereicht. Die irische Datenschutzbeauftragte Helen Dixon erklärte in einer Verhandlung vor dem Court am 07. Februar 2017, dass nach ihrer Einschätzung die Privatsphäre von EU-Bürgern, deren Daten in den USA verarbeitet werden, nicht genügend geschützt sei. Die Datenschutzbeauftragte bat den High-Court daher um Anrufung des EuGH. Es bleibt spannend! 37

38 G. Ausblick 3. Überprüfung der Wirksamkeit der Privacy-Shield-Maßnahmen unter Beteiligung der Artikel-29-Datenschutzgruppe ab Sommer 2017 Auszug aus einem Netzpolitik-Artikel vom : ( Die Datenschutzgruppe kündigte jedoch an, sich intensiv in die erste jährliche Prüfung der Versprechen der US-Regierung im Sommer 2017 einbringen zu wollen. Diese sei ein entscheidender Moment, um die Wirksamkeit der Privacy-Shield-Mechanismen zu prüfen. Es sei deshalb notwendig, die Kompetenzen der Datenschutzbehörden im Prüfprozess klar zu definieren. Unter anderem bräuchten alle Mitglieder der Prüfkommission Zugang zu ausreichend Informationen über die Datenpraxis der staatlicher Akteure. Es bleibt spannend! 38

39 H. Schlagabtausch 39