EU-US-Privacy-Shield: Erste jährliche Überprüfung steht EU-US-Privacy-Shield

Am 12. Juli 2017 wird der EU-US-Privacy-Shield ein Jahr alt. Er regelt den transatlantischen Datenverkehr, nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte. Das neue Abkommen sieht auch eine jährliche Überprüfung des Shield vor. Mitte September wird es ernst: In der Woche vom 18.September sollen Vertreter der EU, der USA und Datenschutz-Experten unter Führung der Europäischen Kommission das Abkommen und dessen Umsetzung erstmals genau unter die Lupe nehmen. „Angesichts der bereits geäußerten datenschutzrechtlichen Bedenken darf mit Spannung erwartet werden, inwieweit die Umsetzung des Privacy-Shield zur Zufriedenheit aller Beteiligten, aber insbesondere der Art.-29-Datenschutzgruppe (WP-29) erfolgt ist“, sagt Barbara Scheben, Datenschutz-Expertin bei KPMG.

Bei dem Abkommen handelt es sich um einen sogenannten Angemessenheitsbeschluss der Europäischen Kommission. Wenn dieser für ein Drittland – in diesem Fall die USA – erfolgt ist, ist die Übermittlung personenbezogener Daten an die dort ansässigen Unternehmen zulässig. Durch den Beschluss können sie ein angemessenes Datenschutzniveau nachweisen. Allerdings müssen sich die Unternehmen zunächst zur Einhaltung der Vorschriften des Privacy-Shield verpflichten.

„Aufgrund der enormen Bedeutung des transatlantischen Datenverkehrs war bereits der Entstehungsprozess des Privacy-Shield aus datenschutzrechtlichen Gesichtspunkten hart umkämpft“, so Scheben. Auch am letztendlichen Beschluss bestanden weiterhin Bedenken von Seiten der Datenschützer, insbesondere vertreten durch die WP-29. Diese setzt sich aus Vertretern der nationalen Datenschutzaufsichtsbehörden, dem Europäischen Datenschutzbeauftragten und einem Vertreter der Europäischen Kommission zusammen.

Zur Vorbereitung der Überprüfung hat die Art.-29-Datenschutzgruppe daher Fragebögen erarbeitet. Dort sind die wichtigsten Punkte aufgelistet, für die sich die WP-29 Klärung erhofft – gegliedert nach Wirtschaft, Strafverfolgung und nationaler Sicherheit. Mit Blick auf die Wirtschaft betrifft dies unter anderem die Bedenken bezüglich der Verfahren automatisierter Entscheidungsfindung (Profiling). Darüber hinaus soll geklärt werden, ob das Handelsministerium Unternehmen, die als Auftragsverarbeiter agieren, eine Orientierungshilfe zur Anwendung der Prinzipien des Privacy-Shield zur Verfügung gestellt hat. Zudem sei nach Ansicht der Datenschützer die Definition des Begriffs der Personaldaten klärungsbedürftig.

Im Rahmen von Strafverfolgung und nationaler Sicherheit haben unter anderem die neuesten Entwicklungen im amerikanischen Recht und der Rechtsprechung datenschutzrechtliche Fragen aufgeworfen. Außerdem möchte die WP-29 konkrete Beweise geliefert bekommen, dass Massendatenerhebungen, sofern sie erfolgen, so zugeschnitten wie möglich, eingeschränkt und verhältnismäßig ausgestaltet sind. Darüber hinaus möchte man Informationen über die nach wie vor ausstehende Benennung von vier Mitgliedern des Privacy-and-Civil-Liberties-Oversight-Board und der Ombudsperson sowie über die diesen Mechanismus regelnden Prozesse und Maßnahmen erhalten. Hierbei handelt es sich um die Verfahren, die dafür Sorge tragen sollen, dass der behördliche Zugriff auf Daten von EU-Bürgern möglichst eingeschränkt erfolgt – und wenn überhaupt, nur unter sorgfältiger Überwachung und Kontrolle. „Berechtigterweise sieht daher auch die WP-29 hierin Kernelemente des Shield“, so Scheben.

Die Fragebögen sollen den Behörden bereits im Voraus zugehen. Sollten im Verlauf der Überprüfung weitere Fragen aufkommen, werden diese ebenfalls behandelt.

Nach der Überprüfung erwartet die WP-29, dass sie die Gelegenheit erhält, den Report der Kommission zu kommentieren. Zudem behält man sich das Recht vor, einen eigenen Bericht zu veröffentlichen. Dazu Scheben: „Dies dürfte darauf zurückzuführen sein, dass die Kommission aus Sicht der WP-29 sowohl beim Scheitern des Safe-Harbor-Abkommens als auch der Verhandlung des Privacy-Shield nicht immer ausreichend auf die geäußerten datenschutzrechtlichen Bedenken eingegangen ist. Hier ist eindeutig ein Fingerzeig gegenüber der Kommission zu erkennen.“