EU-US Privacy Shield: Erste jährliche Überprüfung steht bevor

EU-US Privacy Shield: Überprüfung naht

Datenschützer drängen auf Klärung offener Fragen

Keyfacts über EU-US Privacy Shield

  • Erste Überprüfung steht an
  • Datenschützer wollen offene Fragen klären
  • Art. 29 Datenschutzgruppe verschickt Fragebögen
Zusammenfassung lesen

Am 12. Juli 2017 wird der EU-US Privacy Shield ein Jahr alt. Er regelt den transatlantischen Datenverkehr, nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte. Das neue Abkommen sieht auch eine jährliche Überprüfung des Shield vor. Mitte September wird es ernst: In der Woche vom 18.09. sollen Vertreter der EU, der USA und Datenschutz-Experten unter Führung der Europäischen Kommission das Abkommen und dessen Umsetzung erstmals genau unter die Lupe nehmen. „Angesichts der bereits geäußerten datenschutzrechtlichen Bedenken darf mit Spannung erwartet werden, inwieweit die Umsetzung des Privacy Shield zur Zufriedenheit aller Beteiligten, aber insbesondere der Art. 29 Datenschutzgruppe (WP 29) erfolgt ist“, sagt Barbara Scheben, Datenschutz-Expertin bei KPMG.

Privacy Shield soll Datentransfer zwischen EU und USA erleichtern

Bei dem Abkommen handelt es sich um einen sogenannten Angemessenheitsbeschluss der Europäischen Kommission. Wenn dieser für ein Drittland – in diesem Fall die USA – erfolgt ist, ist die Übermittlung personenbezogener Daten an die dort ansässigen Unternehmen zulässig. Durch den Beschluss können sie ein angemessenes Datenschutzniveau nachweisen. Allerdings müssen sich die Unternehmen zunächst zur Einhaltung der Vorschriften des Privacy Shield verpflichten.

„Aufgrund der enormen Bedeutung des transatlantischen Datenverkehrs war bereits der Entstehungsprozess des Privacy Shield aus datenschutzrechtlichen Gesichtspunkten hart umkämpft“, so Scheben. Auch am letztendlichen Beschluss bestanden weiterhin Bedenken von Seiten der Datenschützer, insbesondere vertreten durch die WP 29. Diese setzt sich aus Vertretern der nationalen Datenschutzaufsichtsbehörden, dem Europäischen Datenschutzbeauftragten und einem Vertreter der Europäischen Kommission zusammen.

Klärung wichtigster Punkte durch Fragebögen

Zur Vorbereitung der Überprüfung hat die Art. 29 Datenschutzgruppe daher Fragebögen erarbeitet. Dort sind die wichtigsten Punkte aufgelistet, für die sich die WP 29 Klärung erhofft – gegliedert nach Wirtschaft, Strafverfolgung und nationaler Sicherheit. Mit Blick auf die Wirtschaft betrifft dies unter anderem die Bedenken bezüglich der Verfahren automatisierter Entscheidungsfindung (Profiling). Darüber hinaus soll geklärt werden, ob das Handelsministerium Unternehmen, die als Auftragsverarbeiter agieren, eine Orientierungshilfe zur Anwendung der Prinzipien des Privacy Shield zur Verfügung gestellt hat. Zudem sei nach Ansicht der Datenschützer die Definition des Begriffs der Personaldaten klärungsbedürftig.

Im Rahmen von Strafverfolgung und nationaler Sicherheit haben unter anderem die neuesten Entwicklungen im amerikanischen Recht und der Rechtsprechung datenschutzrechtliche Fragen aufgeworfen. Außerdem möchte die WP 29 konkrete Beweise geliefert bekommen, dass Massendatenerhebungen, sofern sie erfolgen, so zugeschnitten wie möglich, eingeschränkt und verhältnismäßig ausgestaltet sind. Darüber hinaus möchte man Informationen über die nach wie vor ausstehende Benennung von vier Mitgliedern des Privacy and Civil Liberties Oversight Board und der Ombudsperson sowie über die diesen Mechanismus regelnden Prozesse und Maßnahmen erhalten. Hierbei handelt es sich um die Verfahren, die dafür Sorge tragen sollen, dass der behördliche Zugriff auf Daten von EU-Bürgern möglichst eingeschränkt erfolgt – und wenn überhaupt, nur unter sorgfältiger Überwachung und Kontrolle. „Berechtigterweise sieht daher auch die WP 29 hierin Kernelemente des Shield“, so Scheben.

WP 29 erhöht den Druck

Die Fragebögen sollen den Behörden bereits im Voraus zugehen. Sollten im Verlauf der Überprüfung weitere Fragen aufkommen, werden diese ebenfalls behandelt.

Nach der Überprüfung erwartet die WP 29, dass sie die Gelegenheit erhält, den Report der Kommission zu kommentieren. Zudem behält man sich das Recht vor, einen eigenen Bericht zu veröffentlichen. Dazu Scheben: „Dies dürfte darauf zurückzuführen sein, dass die Kommission aus Sicht der WP 29 sowohl beim Scheitern des Safe-Harbor-Abkommens als auch der Verhandlung des Privacy Shield nicht immer ausreichend auf die geäußerten datenschutzrechtlichen Bedenken eingegangen ist. Hier ist eindeutig ein Fingerzeig gegenüber der Kommission zu erkennen.“

10. Juli 2017
Zusammengefasst

»Angesichts der bereits geäußerten datenschutzrechtlichen Bedenken darf mit Spannung erwartet werden, inwieweit die Umsetzung des Privacy Shield zur Zufriedenheit aller Beteiligten, aber insbesondere der Art. 29 Datenschutzgruppe (WP 29) erfolgt ist.«

Am 12. Juli 2017 wird der EU-US Privacy Shield ein Jahr alt. Das neue Abkommen sieht auch eine jährliche Überprüfung des Shield vor. Mitte September wird es ernst: In der Woche vom 18.09. sollen Vertreter der EU, der USA und Datenschutz-Experten unter Führung der Europäischen Kommission das Abkommen und dessen Umsetzung erstmals genau unter die Lupe nehmen. Datenschützer wollen offene Fragen klären.

Barbara Scheben Partnerin, Forensic
Ganzen Artikel lesen

Kommentare

Wie ist Ihre Meinung zum EU-US Privacy Shield?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen