Original-URL des Artikels: https://www.golem.de/news/datentransfer-in-usa-eu-datenschuetzer-fordern-nachbesserungen-beim-privacy-shield-1712-131624.html    Veröffentlicht: 12.12.2017 14:44    Kurz-URL: https://glm.io/131624

Datentransfer in USA

EU-Datenschützer fordern Nachbesserungen beim Privacy Shield

Die neue Datenschutzvereinbarung mit den USA reicht den EU-Datenschützern weiterhin nicht aus. EU-Kommission und US-Regierung sollen "erhebliche Bedenken" bis Mai 2018 ausräumen.

Die europäischen Datenschutzbehörden sind weiterhin unzufrieden mit dem Schutz personenbezogener Daten von EU-Bürgern in den USA. Gut anderthalb Jahre nach der vorläufigen Billigung des Privacy Shield, das diesen Schutz gewähren sollte, äußerte die sogenannte Artikel-29-Gruppe in einer Stellungnahme "erhebliche Bedenken, die sowohl von der Kommission als auch von den US-Behörden ausgeräumt werden müssen". Fortschritte im Vergleich zum Safe-Harbor-Abkommen seien in der Vereinbarung zwar vorhanden, reichten aber nicht aus.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff forderte: "Jetzt ist es an der Europäischen Kommission, in Verhandlungen mit der US-Seite den Privacy Shield fortzuentwickeln. Sollte insbesondere die als Rechtsweg für EU-Bürger gegen Überwachungsmaßnahmen in den USA geschaffene Stelle der Ombudsperson keine spürbaren Verbesserungen erfahren, werden die europäischen Datenschutzbehörden geeignete Maßnahmen ergreifen." Das könnte dazu führen, dass der Europäische Gerichtshof (EuGH), der bereits das Safe-Harbor-Abkommen für ungültig erklärt hatte, auch über die Rechtsmäßigkeit des Privacy Shield entscheiden müsste.

Kontrollbesuch in den USA

Die Artikel-29-Gruppe hatte die Vereinbarungen zum Datenschutzschild im Juli 2016 nur vorläufig gebilligt und einer ersten Evaluierung nach zwölf Monaten eine besondere Bedeutung beigemessen. Schon damals war moniert worden, dass der Verzicht auf eine anlasslose Massenüberwachung von EU-Bürgern durch die US-Geheimdienste nicht in der Vereinbarung festgeschrieben worden sei. Zudem hatte die Artikel-29-Gruppe gefordert, die Unabhängigkeit und die Befugnisse der US-amerikanischen Ombudsperson zur Klärung von Beschwerden stärker zu verankern.

Im September 2017 waren daher acht EU-Datenschützer in die USA gereist, um an zwei Tagen in der US-Hauptstadt Washington die Funktionsweise des Datenschutzschirms zu überprüfen. Darunter waren auch zwei Vertreter deutscher Datenschutzbehörden. In dem nun veröffentlichten 38-seitigen Bericht werden eine ganze Reihe bestehender Defizite aufgelistet. Das betrifft sowohl die Datenverarbeitung durch Firmen als auch durch US-Geheimdienste.

Massenüberwachung von EU-Bürgern nicht ausgeschlossen

Demnach kritisieren die Datenschützer, dass es für Unternehmen keine Anleitungen oder klaren Informationen über die Grundsätze zum Privacy Shield gebe. Zudem fordern sie eine bessere Überprüfung der Firmen durch die Behörden. Mehr ungelöste Probleme gibt es jedoch beim Umgang der Daten durch die Geheimdienste. Das gilt vor allem für Daten, die nach der Sektion 702 des Auslandsüberwachungsgesetzes (FISA) und der Präsidentenverfügung 12333 verarbeitet würden. So verlangen die Datenschützer weiterhin rechtlich bindende Verpflichtungen der US-Behörden, wonach die Daten von EU-Bürgern im Zusammenhang mit diesen Programmen nicht anlasslos oder diskriminierend gespeichert würden, beispielsweise durch das Upstream-Programm.

Das sogenannte Privacy and Civil Liberties Oversight Board (PCLOB) sollte in die Lage versetzt werden, aufbauend auf einer Untersuchung aus dem Jahr 2014 die Notwendigkeit und Verhältnismäßigkeit der Überwachungsziele einzuschätzen. Eine schnelle Besetzung vakanter Posten im PCLOB sei erforderlich, um effektive Kontrollen zu ermöglichen.

Noch keine Ombudsperson eingesetzt

Da die Einsetzung einer Ombudsperson ein "Schlüsselelement" in dem Abkommen sei, um die genannten Defizite beim Rechtsbehelf von EU-Bürgern zu beheben, sollte diese Person so schnell wie möglich ernannt werden. Die Datenschützer setzen EU-Kommission und US-Regierung eine Frist bis zum Inkrafttreten der Datenschutzgrundverordnung, dem 25. Mai 2018, um die unabhängige Ombudsperson zu ernennen. "Unverzüglich" solle hingegen ein Aktionsplan als Nachweis dafür erstellt werden, "dass all diese Bedenken ausgeräumt werden".

Nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte, war eine Neureglung notwendig geworden. Der neue Schild zum Schutz der Privatsphäre ist ebenso wie sein Vorgänger kein rechtsverbindliches Abkommen, sondern ein Rechtsrahmen, der in diesem Fall auf dem Austausch verschiedener Briefe basieren soll. Auf Basis der derzeit noch gültigen Datenschutzrichtlinie aus dem Jahr 1995 muss die EU-Kommission eine sogenannte Angemessenheitsentscheidung treffen, wenn Daten europäischer Bürger in Länder ohne vergleichbares Datenschutzniveau übertragen werden.

EuGH entscheidet über Standardvertragsklauseln

Allerdings übertragen viele Firmen, darunter Facebook, seit dem EuGH-Urteil Daten auf der Basis sogenannter Standardvertragsklauseln. Nach einem Urteil des irischen Obersten Gerichtshofs vom Oktober 2017 soll der EuGH darüber entscheiden, ob Facebook auf dieser Basis personenbezogene Nutzerdaten in die USA übertragen darf.

Die neue Datenschutzgrundverordnung erlaubt ebenfalls die Datenübertragung in Länder mit einem "angemessenen Schutzniveau" (Artikel 45) oder auf Basis von Standarddatenschutzklauseln (Artikel 46). Hinzu kommen noch "genehmigte Verhaltensregeln" und ein "genehmigter Zertifizierungsmechanismus". Sollte der EuGH aber ein weiteres Mal zu dem Schluss kommen, dass aufgrund der Zugriffsmöglichkeiten der US-Geheimdienste sowie unzureichender Rechtsbehelfe für EU-Bürger die Daten dort nicht ausreichend geschützt sind, dürfte es echte Probleme geben.  (fg)


Verwandte Artikel:
Schrems vs. Facebook: EuGH soll über Standardvertragsklauseln entscheiden   
(04.10.2017, https://glm.io/130429 )
E-Privacy-Verordnung: Verleger und Startups wollen mehr Daten verarbeiten dürfen   
(07.03.2018, https://glm.io/133201 )
Politik: EU könnte Drohnenflug mit VR-Headset einschränken   
(27.02.2018, https://glm.io/133016 )
Rhode Island: Senatoren fordern Pornosperre mit 20-Dollar-Gebühr   
(07.03.2018, https://glm.io/133191 )
Mobilfunk: 5G-Frequenzen in EU ab 2020 für bis zu 20 Jahre verfügbar   
(03.03.2018, https://glm.io/133126 )

© 1997–2020 Golem.de, https://www.golem.de/