Obwohl drei Monate nach der GDPR verabschiedet, wurde der Privacy Shield (1), der den Fluss personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten von Amerika regeln soll, bereits unter die Lupe genommen: Er wurde erstmals von der Europäischen Kommission im Oktober 2017 bewertet (2), dann vom Europäischen Parlament (3) und kürzlich vom Kommissar für Justiz, Verbraucher und Gleichstellung der Geschlechter, Věra Jourová (4). Die Zukunft ist ungewiss, und in der Zwischenzeit müssen sich die Parteien eines IT-Vertrags, der transatlantische Datenflüsse vorsieht, auf jedes Szenario vorbereiten und bereits mit dem Verschwinden des Szenarios rechnen.
Die Position des Europäischen Parlaments zum EU-USA-Datenschutzschild
Auf der Grundlage der Ergebnisse der Kommission vom Oktober 2017 reichte das Europäische Parlament einen Entschließungsantrag ein, in dem es feststellte, dass die damaligen Empfehlungen von der US-Regierung nicht umgesetzt wurden.
Die Kommission wollte das System tatsächlich verbessern und empfahl insbesondere, eine Ombudsperson für den Datenschutz zu ernennen, die als allgemeine Aufsichtsperson und Vermittler bei der Umsetzung der Verpflichtungen im Rahmen des Datenschutzes fungiert, und eine engere Zusammenarbeit zwischen Verwaltungs- und Justizbehörden auf beiden Seiten des Atlantiks zu fördern.
- Der EU-U.S. Datenschutz-Schild den CLOUD Act zu verabschieden, um den Zugang zu personenbezogenen Daten von "amerikanischen Personen" zu erleichtern, auch wenn die Daten physisch in Europa gehostet werden (4);
- Erleichterung der Kommunikationsüberwachung durch Reaktivierung von Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA);
- Erlass von Ausführungsanordnungen nach diesem Gesetz zur Stärkung der Einrichtung einer allgemeinen Überwachung (Ausführungsanordnungen 12333 und 13768).
Das Parlament äußerte seine Besorgnis und ersuchte die Kommission, die Anwendung des Sichtschutzes mit Wirkung vom 1. September 2018 auszusetzen, ohne dass die amerikanischen Behörden unverzüglich darauf reagieren. Diese Aussetzung ist schließlich nicht erfolgt, weil die Entschließung des Parlaments keine Bindungskraft hat. Die Kommission reagierte später über das Kommissionsmitglied Věra Jourová.
Die Position des für den EU-USA-Datenschutzschild zuständigen Kommissars
Der für Digitaltechnik zuständige Kommissar hörte die Botschaft des Parlaments und erklärte, dass die Ernennung des Bürgerbeauftragten eine unabdingbare Voraussetzung für die Aufrechterhaltung des EU-amerikanischen Datenschutzes sei.
Aber der Kommissar hat die anderen in der Entschließung des Parlaments festgelegten Anforderungen nicht gebilligt, da festgestellt wurde, dass die Rechte der europäischen Bürger ohne den Sichtschutz noch schwächer wären als mit ihm, so unvollkommen seine Umsetzung auch sein mag.
Der Bürgerbeauftragte würde eine zentrale Rolle als Kontaktstelle des europäischen Nutzers spielen: Er oder sie wird für die Bearbeitung von Beschwerden über die Anwendung von Privacy Shield zuständig sein. Eine Lösung der US-Regierung wird bis zum 18. Oktober 2018 erwartet, dem Tag, an dem die Europäische Kommission ihren jährlichen Bewertungsbericht nach Angaben der Financial Times vorlegen wird. Andernfalls ist eine Aufhebung des Sichtschutzes möglich.
Angesichts der Krise um den Datenschutz will sich die Kommission auch auf einen anderen Bereich konzentrieren: die Bekämpfung des Missbrauchs des Zwecks der Verarbeitung personenbezogener Daten, insbesondere für politische Zwecke. Die Kommission setzt nach dem berühmten Datenskandal Facebook-Cambridge Analytica auf Datenschutzverletzungen. In diesen Fällen würde die in der GDPR vorgesehene Höchststrafe von 4% des weltweiten Jahresumsatzes auf 5% erhöht.
Mögliche Maßnahmen im Falle des Verschwindens des EU-USA-Datenschutzschildes
Das Verschwinden des sicheren Hafens durch ein Urteil des Gerichtshofs der Europäischen Union Ende 2015 hat seine Spuren hinterlassen (5). Nun sollten die Parteien eines IT-Vertrags, der unter den Privacy Shield fällt, besonders vorsichtig sein, auch wenn der EU-U.S. Privacy Shield weiterhin gilt: Eine immer häufiger vorkommende Praxis ist es, die Vorsichtsmaßnahme zu treffen, im Vertrag zu erwähnen, dass sich die Parteien im Voraus verpflichten, alle zukünftigen Vereinbarungen einzuhalten, die den Privacy Shield ersetzen könnten.
Falls der Datenschutzschild nicht sofort durch einen anderen Text ersetzt wird, können sich die Parteien an andere Lösungen wenden:
- Verbindliche Corporates Rules (BCR) für konzerninterne Verträge,
- die von der Europäischen Kommission vorgeschlagenen Standardvertragsklauseln oder
- eine der in Artikel 69 des französischen Datenschutzgesetzes genannten Ausnahmeregelungen vom Verbot grenzüberschreitender Ströme, wenn die Umstände der Übermittlung es zulassen.
Transatlantische Datenübermittlungen sind für die wirtschaftliche Tätigkeit vieler Unternehmen unerlässlich; daher wird ihnen dringend empfohlen, vorsichtig zu sein, sich auf jede Situation vorzubereiten und einen " besser sicher als traurig " Ansatz zu verfolgen.
Literaturnachweis:
- Die Durchführungsentscheidung (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des durch den EU-USA-Datenschutzschild gewährten Schutzes.
- Bericht über den Jahresbericht von Privacy Shield Oktober 2017.
- Den Entschließungsantrag des Europäischen Parlaments vom Juni 2018.
- Interview mit Kommissar Věra Jourová, Juni 2018.
- Die Aufhebung des sicheren Hafens durch den CJUE, Artikel vom 30. Oktober 2015.
Artikel bereitgestellt von: Eric Le Quellenec (Lexing Law)