Artikel-29-Datenschutzgruppe gibt Stellungnahme ab Überprüfung von Privacy Shield

Im September findet die erste jährliche Überprüfung des Privacy Shield-Abkommens durch die EU-Kommission statt. Die sogenannte Arteikel-29-Datenschutzgruppe – ein Zusammenschluss von Vertretern der europäischen Datenschutzaufsichtsbehörden – hat hierzu eine erste Stellungnahme veröffentlicht.

Privacy Shield als Nachfolger von Safe Harbour

Nach § 4b Abs. 2 BDSG ist eine Übermittlung von Daten an Stellen, die nicht innerhalb der europäischen Union oder im europäischen Wirtschaftraum liegen, nur zulässig, wenn die Stellen in den Drittländern ein angemessenes Datenschutzniveau gewährleisten und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Ob ein angemessenes Datenschutzniveau vorliegt, wird gem. § 4b Abs. 3 BDSG unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung von Bedeutung sind. Insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen zur Beurteilung herangezogen werden.

Damit gerade international agierende Unternehmen einen entsprechenden Nachweis erbringen können, hatten die EU und die USA zunächst das Safe-Harbour-Abkommen geschlossen. Die daran teilnehmenden Unternehmen waren verpflichtet, für ein dem europäischen Standard entsprechendes Datenschutzniveau in den USA zu sorgen.

Der Europäische Gerichtshof hatte dieses Abkommen jedoch für unwirksam erklärt, woraufhin die EU und die USA das Nachfolge-Abkommen Privacy Shield abschlossen. Teil dieses Abkommens ist die jährliche Überprüfung des Schutzniveaus durch die EU-Kommission.

Gemeinsame Überprüfung

An dieser ersten jährlichen Überprüfung wird auch die Artikel-29-Datenschutzgruppe teilnehmen. Zur Gewährleistung eines sinnvollen Dialogs hat der Zusammenschluss nun Vorab eine Stellungnahme veröffentlicht.

Gerade aufgrund des politischen Kurswechsels in den USA haben sich die Bedenken der Artikel-29-Datenschutzgruppe verstärkt. Dies ist vor allem einer Executive Order geschuldet, nach der die US-Behörden datenschutzrechtliche Vorschriften nur noch in Bezug auf US-Bürger anwenden sollen. Wenn nun also selbst das ohnehin eher schwach ausgeprägte US-Datenschutzrecht nur auf US-Bürger angewendet wird, erscheint es fraglich, wie die am Privacy Shield-Abkommen teilnehmenden Unternehmen für die Daten von EU-Bürgern ein mit der EU vergleichbares Datenschutzniveau gewährleisten wollen.

Die Artikel-29-Datenschutzgruppe zeigt sich daher kritisch gegenüber rechtlichen Garantien für automatische Entscheidungen, der Anwendung von Richtlinien durch das US-Wirtschaftsministerium und fordert zudem Klarstellungen von noch offen formulierten Definitionen im Abkommen. Außerdem fordert sie Auskünfte über neuste Entwicklungen im US-Datenschutzrecht und aktuelle Rechtsprechung.

Kommission unter Druck

Diese Stellungnahme zeigt, dass die Artikel-29-Datenschutzgruppe der Aufrechterhaltung des Abkommens wohl kritisch gegenüber steht. Die klar geäußerten Bedenken sollen die Kommission unter Druck setzen, die sich in der Vergangenheit eher wohlwollend gegenüber den USA gezeigt hatte. Nach Bekanntwerden der NSA-Affäre hatte die Kommission die Kündigung des Safe-Harbour-Abkommens verweigert, obwohl das EU-Parlament dies gefordert hatte.

Im Fall des Privacy Shield-Abkommens soll die Kommission nun frühzeitig zum Handeln angehalten werden. Es ist daher davon auszugehen, dass die erste jährliche Überprüfung eher kritisch ausfallen wird – gerade im Hinblick auf die aktuelle politische Entwicklung in den USA.

Beratung anfordern

Wir beraten Sie gerne - persönlich und individuell

+49 (0)6232 100119-44