20 July 2016

Privacy Shield in Kraft getreten

Am Dienstag den 12. Juli 2016 setzten die EU-Kommission und die US-Regierung das Privacy-Shield-Abkommen in Kraft. Es regelt, unter welchen Voraussetzungen ein Unternehmen personenbezogene Daten von EU-Bürgern in die USA übermitteln darf. Was allerdings als Abkommen bezeichnet wird, stellt lediglich einen unilateralen Beschluss der Kommission dar und gerade keinen völkerrechtlichen Vertrag.

Hintergrund des Beschlusses ist, dass der Europäische Gerichtshof im vergangenen Herbst das bis dahin für den Austausch personenbezogener Daten gültige Safe-Harbor-Abkommen für ungültig erklärt hatte. Die in diesem Abkommen vorausgesetzte Grundannahme, dass in den Vereinigten Staaten ein der EU vergleichbares Datenschutzniveau herrsche und daher Datentransfers zwischen den beiden Wirtschaftsräumen ermöglicht werden sollten, hielt der EuGH für unhaltbar und zwang die EU-Kommission dadurch zu Verhandlungen über ein Nachfolge-Abkommen. Der EuGH begründete sein Urteil vor allem damit, dass es den US-Geheimdiensten möglich sei, ungehindert Zugriff auf die übermittelten Daten zu nehmen.

Gegenüber Safe Harbor enthält das Privacy-Shield-Abkommen im Wesentlichen drei Elemente des verbesserten Schutzes:

  • Erstens ist eine Zweckbindung der Daten vorgesehen. Aus dem Abkommen erwächst eine neue Pflicht für Unternehmen in den USA, Daten von EU-Bürgern nur so lange zu speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind". Diese Regulierung entspricht einer ähnlichen Formulierung in der neuen EU-Datenschutzgrundverordnung. Schwierigkeiten bei der Durchsetzung dieser Regel könnten sich jedoch unter Umständen daraus ergeben, dass Aufsicht hierüber bei der US-Handelsaufsicht FTC liegt, die eigentlich auf Wettbewerbsverstöße und nicht auf Einzelfälle ausgerichtet ist. 
  • Zweitens hat die US-Regierung schriftliche Zusicherungen und Erklärungen abgegeben, Daten von EU-Bürgern nicht anlass- und unterschiedslos zu sammeln. Für diese bulk collection soll es jedoch auch Ausnahmen geben, wenn die gezielte Überwachung von Einzelnen nicht machbar ist. Verwendet werden dürfen die Daten dann nur, wenn es um die nationale Sicherheit" der USA geht, und zwar im Hinblick auf Terrorismus, Spionage, Massenvernichtungswaffen, Bedrohungen für das Militär sowie vergleichbar schwerwiegende "transnationale kriminelle Bedrohungen". Die USA und der EuGH haben jedoch unterschiedliche Auffassungen davon, was als „Überwachung“ zu bezeichnen ist. Für die US-Regierung stellt das Sammeln von Daten durch eine Behörde noch keine Überwachung dar; diese beginnt erst, wenn mit den Daten gearbeitet würde. Der EuGH-Rechtsprechung zufolge ist schon die Erhebung bestimmter Daten jedoch schon ein Grundrechtseingriff, der nicht anlasslos stattfinden darf. 
  • Drittens darf sich, wer glaubt, unrechtmäßig überwacht worden zu sein, in Zukunft bei einer Ombudsperson im US-Außenministerium beschweren. Diese Ombudsperson soll umfassende Prüfungskompetenzen auch innerhalb der US-Geheimdienste bekommen und mit anderen Aufsichtsgremien zusammenarbeiten. Die Entscheidung soll am Ende dieser Ombudsperson obliegen, und sie soll "objektiv und frei von unangemessenem Einfluss, der einen Einfluss auf seine Antwort haben könnte" Auskunft darüber geben, ob ein EU-Bürger auf Basis der US-Gesetze rechtmäßig überwacht wurde. 

Zudem findet einmal jährlich eine Überprüfung des Privacy-Shields statt, um gegebenenfalls notwendige Verbesserungen durchführen zu können. 

Fragen stellen sich auch bezüglich der Auswirkungen des „Brexit“ auf das Abkommen. Das Vereinigte Königreich müsste zunächst einem Abkommen zustimmen, aus dem es bald wieder auszutreten gedenkt. Und zudem könnte das Vereinigte Königreich ebenfalls ein adäquates Datenschutzniveau im Sinne der neuen Datenschutzgrundverordnung garantieren müssen, wenn es weiterhin mit dem Gemeinsamen Markt verbunden bleiben möchte. 

Während sowohl die USA als auch die EU-Kommission davon überzeugt sind, dass der Beschluss den Vorgaben des EuGH genügt, kündigen Datenschützer bereits an, auch bezüglich des Privacy-Shields vor den EuGH zu ziehen. Industrievertreter hingegen sehen in dem Abkommen eine deutliche Verbesserung hinsichtlich des Datenschutzniveaus und begrüßen, die nun ihrer Meinung nach eintretende Rechtssicherheit.

Share on LinkedIn Share on Facebook Share on Twitter
    Das könnte Sie auch interessieren

    Ein Verbraucherschutzverein klagte gegen Amazon auf Unterlassung einer solchen Nutzungsbedingung

    20 Juli 2016

    Der für das Lauterkeitsrecht zuständige I. Zivilsenat des BGH hat entschieden, dass es grundsätzlich nicht unlauter ist, wenn ein Unternehmen Rabatt-Coupons seiner Mitbewerber einlöst.

    20 Juli 2016

    Entgegen des Urteils des LG Kölns verbot das OLG Köln mit Urteil vom 24.06.2016 den Vertrieb der Adblock Plus Software

    20 Juli 2016

    EuGH-Entscheidung: Benutzung einer Marke durch einen Dritten auf einer Website

    20 Juli 2016