Kurzbeitrag : Nach dem Ende von Safe Harbor: Das EU-U.S.-Privacy Shield : aus der RDV 3/2016, Seite 135 bis 138
I. Das Safe Harbor-Urteil und seine Folgen
Der EuGH hat mit seiner Entscheidung zu Safe Harbor am 6. Oktober 2015 hohe Wellen in die transatlantischen Datenströme geschlagen. Mit Verkündung des Urteils waren Datenexporte in die USA auf Basis der Angemessenheitsentscheidung der EU-Kommission zu Safe Harbor als rechtswidrig einzustufen, was an sich einen sofortigen Stopp diesbezüglicher Datenexporte bedeutet hätte. Schnell waren die europäischen Aufsichtsbehörden versucht, weitere Rückschlüsse aus den Entscheidungsgründen des EuGH zu ziehen, was sich in einer Vielzahl behördlicher Stellungnahmen manifestierte. Erst die Art. 29-Datenschutzgruppe auf europäischer Ebene sowie die Konferenz der Datenschutzbeauftragten von Bund und Ländern auf nationaler Ebene vermochten Datenverarbeitern eine erste konsolidierte und praktikable Meinung zu den Folgen des Safe Harbor Urteils zu vermitteln.
Sowohl das Positionspapier der Konferenz der Datenschutzbeauftragten von Bund und Ländern[1] als auch die Art. 29-Gruppe[2] forderten die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen für einen angemessenen Schutz der Grundrechte der EU-Bürger zu finden. Gleichzeitig würde weiter untersucht werden, wie sich das EuGH-Urteil auf andere Werkzeuge zur Herstellung eines angemessenen Datenschutzniveaus in einem Drittland wie die EU-Standardvertragsklauseln oder Binding Corporate Rules (BCRs) auswirkt. Letztgenannten Werkzeugen wurde eine Frist bis Ende Januar 2016 gesetzt, bevor konsolidierte Durchsetzungsmaßnahmen der Aufsichtsbehörden – je nach Ausgang der Prüfung – verpflichtend umzusetzen wären. Die von der Art. 29-Gruppe und der Konferenz der Datenschutzbeauftragten von Bund und Länder gesetzte Frist haben die Mitgliedstaaten und die europäischen Institutionen verstreichen lassen. Inzwischen drohen nationale Aufsichtsbehörden teilweise explizit Durchsetzungsmaßnahmen bezüglich der Datenexporte an, die noch auf Basis von Safe Harbor von statten gehen.[3]
Erst kurz nach Ablauf der gesetzten Frist veröffentliche die EU-Kommission am 2. Februar eine Presseerklärung, in der eine Einigung zwischen der EU Kommission und den Vereinigten Staaten hinsichtlich einer Nachfolgeregelung von Safe Harbor, genannt „EU-U.S. Privacy Shield“, verkündet wurde und die bereits erste Eckpunkte vorgesehener Maßnahmen beinhaltete.[4]
II. EU-U.S. Privacy Shield
Zum Ende der durch die Art. 29-Gruppe festgesetzten Frist veröffentliche die EU-Kommission am 29. Februar verbindliche Inhalte des neuen EU-U.S. Privacy Shield als Nachfolgeinstrument zu Safe Harbor. Ziel soll es sein – wie bereits im Rahmen von Safe Harbor –, ein angemessenes Datenschutzniveau bei Datenempfängern in den USA zu gewährleisten, die sich nach den Vorgaben des EU-U.S. Privacy Shield („EU-U.S. Privacy Shield Framework Principles“[5]) zertifiziert haben. Hierbei wurden auf Basis der bereits in 2013 durch die Kommission selbst vorgeschlagenen 13 Empfehlungen zur Verbesserung von Safe Harbor[6] sowie den Entscheidungsgründen des EuGH die Anforderungen an zertifizierte Datenverarbeiter in den USA erhöht. Hinsichtlich des Anwendungsbereichs der Angemessenheitsentscheidung der Kommission tritt beim Privacy Shield aber zunächst keine Neuerung ein: Nur zertifizierte Unternehmen in den USA sollen in den Genuss europäischer Daten kommen. Welche erweiterten Vorgaben das „Datenschutzschild“ mit sich bringt, soll im Folgenden anhand ausgewählter Themen vorgestellt werden:
1. Transparenz
Eine Zertifizierung nach dem Privacy Shield erfolgt durch eine Erklärung gegenüber dem US-Handelsministerium und bedarf einer jährlichen Aktualisierung. Änderungen ergeben sich bei der Publizität von Zertifizierungen, die in der Vergangenheit nicht ausreichend gewährleistet war: Das US-Handelsministerium soll nunmehr ein Register führen, das neben bestehenden Zertifizierungen auch unwirksame bzw. entzogene Zertifikate sowie den diesbezüglichen Grund aufführt (Erwägungsgrund 24 und 39 der Angemessenheitsentscheidung im Entwurf)[7]. Anhängige Verfahren bei der Federal Trade Commission (FTC) als einem Organ der Aufsicht über das Privacy Shield, so beispielsweise aufgrund eines Verstoßes gegen dessen Vorgaben, sollen über das Register nun ebenfalls kommuniziert werden.
Dauerhafte Verstöße gegen die Vorgaben des Privacy Shields resultieren nicht nur in der Entfernung aus dem Register aktueller Zertifizierungen sondern münden in der Pflicht zur Löschung aller unter dem Privacy Shield empfangenen Daten (Erwägungsgrund 26). In anderen Fällen, die zu einem Entzug einer Zertifizierung führen, kann eine Stelle die empfangenen Daten zwar weiterhin verarbeiten. Das setzt aber voraus, dass sie gegenüber dem US-Handelsministerium erklärt, dass diese Daten weiterhin nach den Vorgaben der Privacy Shield Framework Principles oder mithilfe alternativer anerkannter Werkzeuge zur Herstellung eines angemessenen Datenschutzniveaus, so beispielsweise die EU-Standardvertragsklauseln, geschützt werden.
Die fälschliche Kommunikation einer gültigen Zertifizierung wird durch die Organe der Aufsicht verfolgt, wobei die Aufsicht im Wesentlichen der FTC, dem US-Handelsministerium bzw. dem US-Verkehrsministerium (Department of Transportation) obliegt. Um das Netz der Überwachung enger zu stricken, soll das Handelsministerium gar proaktiv kontrollieren, ob die Datenschutzerklärung des „ausgeschiedenen“ Unternehmens keinerlei Bezüge zum Privacy Shield mehr enthält (Erwägungsgrund 28). Verstöße sollen wiederum den Aufsichtsorganen mit Durchsetzungskompetenzen zugeleitet werden. Ebenso stellt das Handelsministerium proaktiv sicher, so über das Versenden von Fragebögen, dass Unternehmen mit erloschener Privacy Shield Zertifizierung empfangene Daten gelöscht haben, bzw. freiwillig diese Daten nach den Vorgaben der Privacy Shield Principles oder alternativer anerkannter Angemessenheitswerkzeuge schützen (Erwägungsgrund 39).
2. Beschwerden und Abhilfemaßnahmen
Bereits unter Safe Harbor mussten US-Datenverarbeiter Beschwerdeverfahren zugunsten von Betroffenen einrichten und die eingerichtete Kontaktstelle zur Entgegennahme von Beschwerden über die Datenschutzerklärung kommunizieren. Um diese Verfahren zu beschleunigen, sind Beschwerden Betroffener nunmehr innerhalb einer Frist von 45 Tagen durch den Datenverarbeiter zu beantworten. Auch die Streitschlichtung erfährt neue Blüte, indem eine unabhängige Stelle zu involvieren ist, die, neben kostenfreien Abhilfemaßnahmen zugunsten des Betroffenen, auch einen jährlichen Bericht hinsichtlich ihrer Aktivitäten mit Blick auf das Privacy Shield zu veröffentlichten hat, so unter anderem auch die Anzahl der Fälle, die Länge ihrer Bearbeitung sowie deren Ergebnis (Erwägungsgrund 31). Ebenso wird auf Seiten des Handelsministeriums sowie der FTC eine Kontaktstelle für europäische Aufsichtsbehörden eingerichtet, um Beschwerden Betroffener anzunehmen sowie beim US-Datenverarbeiter nachzuverfolgen. Die Kontaktstelle beim Handelsministerium hat innerhalb von höchstens 90 Tagen über den Verlauf, bzw. Ausgang des Verfahrens zu informieren. Hierbei hat das Handelsministerium jährlich über eingegangene Beschwerden Bericht zu erstatten (Erwägungsgrund 36).
Im Zuge der Verbesserung von Safe Harbor wurde den europäischen Aufsichtsbehörden im EU-U.S. Privacy Shield bei den Beschwerde und Abhilfeverfahren eine besondere Rolle zugebilligt. Neben den erwähnten Kontaktstellen für aus Europa eingehende Beschwerden soll die Meinung der europäischen Aufsicht zu bestimmten Streitfällen über ein eigenes, jedoch informelles Gremium Gehör finden (s. Ergänzungsdokument zum EU-U.S. Privacy Shield „The Role of the Data Protection Authorities). Für die Beschleunigung des Verfahren sorgt wiederum eine Frist von 60 Tagen, innerhalb derer die Aufsicht ihre Meinung gegenüber dem Handelsministerium bzw. der FTC kommuniziert haben muss. Sollte ein Unternehmen nicht innerhalb von 25 Tagen den Rat der Aufsichtsbehörden umsetzen, werden wiederum die Aufsichtsorgane über das Privay Shield informiert, was in Durchsetzungsmaßnahmen münden kann.
Sollte der Beschwerde eines Betroffenen über keines der verfügbaren Verfahren Abhilfe verschafft werden können, soll das Privacy Shield Panel als letzte Instanz durch den Betroffenen angerufen werden können (Erwägungsgrund 46). Dieses aus 20 ständigen Mitgliedern bestehende und vom Handelsministerium ernannte Expertengremium wird sich mittels einer Unterarbeitsgruppe Beschwerden von Betroffenen anhand festgelegter Verfahrensregeln zuwenden. Betroffene können den Verhandlungen über eine Videooder Telefonkonferenz beiwohnen. Auf Basis einer nachvollziehbaren Begründung des Betroffenen kann ebenfalls eine Übersetzung der Verhandlung kostenfrei zur Verfügung gestellt werden. An Vorbereitungsmaßnahmen des Betroffenen im Vorfeld der Verhandlung soll die zuständige nationale Aufsichtsbehörde unterstützend mitwirken. Sind Schlichtungs- oder Durchsetzungsmaßnahmen auch nach Einberufung des Privacy Shield Panels in den Augen eines Betroffenen immer noch nicht ausreichend erfolgt, um seiner Beschwerde Abhilfe zu verschaffen, besteht für den Betroffenen in letzter Instanz die Möglichkeit des Anrufens einer Schiedsgerichtsbarkeit in den USA nach dem Federal Arbitration Act (Erwägungsgrund 47).
3. Audits
Die Pflicht zur Überprüfung der Einhaltung der Privacy Shield Principles obliegt weiterhin jedem Datenverarbeiter selbst, indem er interne Audits durchführt oder Dritte mit der Überprüfung beauftragt. Daneben soll jedoch das Handelsministerium eine zusätzliche Kontrolle der Einhaltung durch die Versendung entsprechender Fragebögen durchführen. Dies kann anlassunabhängig erfolgen oder beispielsweise auf Basis der Eingabe eines Betroffenen, bzw. im Falle einer nicht erfolgten Streitschlichtung (Erwägungsgrund 35). Im Falle aufsichtsbehördlicher Ermittlungen sind Nachweise für die Implementierung der Privacy Shield Framework Principles vorzuhalten (Erwägungsgrund 30).
4. Onward Transfers
Die Verantwortlichkeit für die Weitergabe von Daten an weitere Stellen („Onward Transfers“) wird erweitert. Im Unterschied zu Safe Harbor, das eine Weitergabe an ebenfalls zertifizierte Stellen ohne Einschränkungen zugelassen hatte, knüpft der Privacy Shield die Weitergabe an eine konkrete Zweckbindung und vertragliche bzw. vergleichbare Regelungen innerhalb von Unternehmensgruppen, die die Umsetzung der Vorgaben des Privacy Shields garantieren (vgl. Erwägungsgrund 22). Bei Datenschutzverstößen in einer Verarbeitungskette ist die für die Verarbeitung der Daten verantwortliche Stelle (Controller) uneingeschränkt haftbar, sofern sie sich nicht exkulpieren kann.
5. Verwendung von Daten des Privacy Shield für die nationale Sicherheit
Die Angemessenheitsentscheidung der Kommission enthält eine ausführliche Analyse bestehender Beschränkungen des US-Rechts hinsichtlich der Verwendung personenbezogener Daten des Privacy Shield durch Geheimdienste, bestehende Rechtschutzmöglichkeiten sowie der Überwachung solcher Dienste (vgl. Erwägungsgrund 52 ff.). Diese Rahmenbedingungen sind nach Auffassung der Kommission infolge der von ihr ausgesprochenen Empfehlungen von 2013 nochmals verschärft worden (vgl. Erwägungsgrund 55). Was zunächst als Klarstellung gegenüber verunsicherten EU-Bürgern bzw. Datenverarbeitern zu verstehen ist, wird jedoch auch mit Ergänzungen versehen, die im Zuge der Verhandlungen zwischen der Kommission und Vertretern der US-Regierung entstanden sind.[8] Hervorzuheben ist die Einrichtung eines unabhängigen Ombudsmanns für Datenschutz („Privacy Shield Umbudsperson“). Diese Ombudsperson soll nicht nur auf Anfrage einer ausländischen Regierung hin Datenverarbeitungen der US-Geheimdienste auf ihre Zulässigkeit hin prüfen, sondern ebenfalls Beschwerden von Betroffenen zum Anlass für Prüfungen nehmen. Eine direkte Anlaufstelle für Betroffene stellt die Ombudsperson jedoch nicht dar. Vielmehr müssen sich Betroffene zunächst an die jeweilige nationale Aufsicht in der EU bezüglich vermuteter Geheimdienstaktivitäten wenden, bevor diese eine Beschwerde weiterleitet. Hierbei brauchen Betroffene jedoch nicht zu beweisen, dass ihre Daten tatsächlich durch Geheimdienste unzulässig verwendet wurden.
6. Stellungnahme der Art. 29-Gruppe
Die Art.-29-Gruppe hat im Sinne ihrer beratenden Funktion am 13. April 2016 eine Stellungnahme zu den Inhalten des EU-U.S. Privacy Shield abgegeben.[9] Darin begrüßt sie die erheblichen Verbesserungen durch das Privacy Shield im Vergleich zum vorherigen Safe-Harbor-Framework. Gleichwohl identifiziert sie im Rahmen der inhaltlichen Auseinandersetzung eine Reihe von Aspekten, bei denen sie Nachbesserungsbedarf sieht. Neben sprachlichen Ungereimtheiten bestünden u.a. Bedenken hinsichtlich einer fehlenden Regelung zur Datenlöschung, der weiterhin bestehenden Möglichkeit von massenhaften und willkürlichen Datensammlungen sowie einer unklaren Kompetenz und Stellung der Ombudsperson.
* Der Autor ist Repräsentant Internationales bei der GDD und aktives Mitglied des europäischen Datenschutz-Dachverbands CEDPO. Ferner ist er seit 2015 Lehrbeauftragter für Datenschutz an der Fachhochschule Wedel.
[1]Https://www.datenschutz.rlp.de/de/grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf.
[2]Http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.
[3] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Aktueller Sachstand zu Safe Harbor (Februar 2016), abrufbar unter https://www.datenschutz-hamburg.de/news/detail/article/safe-harbor-aktueller-sachstand-im-februar-2016.html; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz, Pressemitteilung vom 10. Februar 2016, abrufbar unter https://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2016021001.
[4]Http://europa.eu/rapid/press-release_IP-16-216_en.htm
[5] Zu den Privacy Shield Framework Principles ausführlich, Angemessenheitsentscheidung der Kommission, Er-wägungsgründe 16-23.
[6]Http://europa.eu/rapid/press-release_MEMO-13-1059_de.htm.
[7] Im Weiteren wird auf den Zusatz „Angemessenheitsentscheidung im Entwurf“ verzichtet.
[8] Ausführlich hierzu Erwägungsgründe 56 ff.
[9] Abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf