EU-US Privacy Shield in Gefahr?

Der Europäische Gerichtshof prüft den EU-US Privacy Shield: Ist das Übereinkommen in Gefahr?

Der EU-US Privacy Shield ist die größte internationale Vereinbarung zum Datenschutz der Welt – mal abgesehen von der DS-GVO. Dem Privacy Shield könnte aber das gleiche Schicksal wie dem Safe-Harbor-Abkommen drohen – gehört das transatlantische Übereinkommen bald der Vergangenheit an?

Das EU-US Privacy Shield Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem EU-Mitgliedsstaat in die USA, die gem. Art. 46 DS-GVO kein Drittstaat mit angemessenem Datenschutzniveau sind, übertragen werden. Das heißt, dass US-Unternehmen sich durch den EU-US Privacy Shield zertifizieren lassen müssen, um Datentransfers in die USA ohne anderweitige Garantien zu ermöglichen. Aber hält der Datenschutzschild auf Dauer? Mit genau dieser Frage setzt sich bereits seit 2016 der Europäische Gerichtshof auseinander.

Kritik wird unter anderem geäußert an:

• der rechtlichen Umsetzung. Faktisch besteht der EU-US Privacy Shield aus Zusicherungen der USA, die per Brief mit der EU ausgetauscht wurden. Rechtssicherheit? Fragwürdig.
• den zertifizierten Unternehmen. Auch Google und Facebook stehen auf der Liste der zertifizierten Unternehmen ( https://www.privacyshield.gov/list ), halten sich aber keineswegs an Vorgaben zum Datenschutz, die den europäischen Anforderungen genügen würden.
• dem Ombudsmann. Dieser sollte der leitende Verantwortliche der US-Regierung werden, der auch für die Beschwerden von EU-Bürgern in Datenschutzbelangen zuständig wäre. Der Ombudsmann sollte ähnlich den Europäischen Datenschutz-Behörden eine Aufsichts- und Kontrollposition besetzen. Naturgemäß wäre eine solche Stelle nicht weisungsgebunden. Die Stelle hat die Trump-Regierung jedoch provisorisch durch eine Person besetzt, die im US-Außenministerium tätig ist und somit nicht unabhängig handeln kann.
• dem Inhalt des Privacy Shield. Weder werden die Informationspflichten benannt, denen Datenverarbeiter gerecht werden müssen (vgl. Art. 13 und 14 DS-GVO), noch werden den zertifizierten Unternehmen Verpflichtungen auferlegt, die die Betroffenenrechte gewährleisten können. Ein Beispiel: Der EU-US Privacy Shield beruht auf dem Opt-Out-Verfahren. Das heißt, dass betroffene Personen sich aktiv gegen die Verarbeitung ihrer Daten aussprechen müssen. Woher wissen betroffene Personen aber, welches Unternehmen ihre Daten verarbeitet, wenn sie vorher der Verarbeitung der Daten nicht einwilligen konnten, weil sie über die Verarbeitung nie informiert wurden? Diese Überlegung führt zu der Vermutung, dass das Opt-Out-Verfahren nicht mit Art. 7 DS-GVO stimmig ist, welches besagt, dass eine Datenverarbeitung ggf. auf der expliziten Einwilligung der betroffenen Person beruhen muss. Folgerichtig stellt sich die Frage, ob die Rechte der betroffenen Personen gem. Art. 15 – 21 DS-GVO überhaupt geltend gemacht werden können.

Derzeit prüft der Europäische Gerichtshof die Wirksamkeit des EU-US Privacy Shield. Der Ausgang ist noch ungewiss – wir halten Sie aber auf dem Laufenden.

Falls Sie weitere Informationen hierzu wünschen, finden Sie diese unter http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/595892/EPRS_IDA(2017)595892_EN.pdf oder Sie können auch gern mit uns in Kontakt treten.