EU-US-Datenschutzschild auf Deutsch – US-Handelsministerium richtet neue Website ein

Die österreichische Datenschutzbehörde (DSB) hat die deutschen Fassungen des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US-Datenschutzschild (EU-U.S. Privacy Shield) und den dazugehörigen Anhängen auf ihrer Webseite veröffentlicht:

  • Durchführungsbeschluss der Europäischen Kommission vom 12.7.2016, C(2016) 4176 final (pdf)

  • Anhänge zum Durchführungsbeschluss (pdf)

Die DSB informiert auf ihrer Webseite weiter, dass nach der Selbstzertifzierung eines US-Unternehmens der Datenfluss an dieses Unternehmen grundsätzlich genehmigungsfrei ist, d. h., es ist keine Genehmigung der Datenschutzbehörde erforderlich. Zu beachten ist jedoch, dass sich diese Genehmigung nur auf eine Stufe der Zulässigkeit einer solchen Datenübermittlung in einer Drittstaat bezieht. Die Datenverarbeitung selbst (z.B. in Form der Übermittlung) bedarf immer noch eines Erlaubnistatbestandes, also etwa einer Einwilligung der betroffenen Person oder die Erforderlichkeit der Übermittlung für die Durchführung eines Vertrages.

US-Handelsministerium bereitet Start des Datenschutzschildes vor

Das US-Handelsministerium hat zudem bereits Vorbereitungen getroffen, um ab dem 1. August 2016 mit der Aufnahme von US-Unternehmen in die neue Datenschutzschild-Liste beginnen zu können. Auf dieser Seite (Privacy Shield Participants List (for individuals)) können sich in Zukunft Betroffene und auch Unternehmen aus der EU darüber informieren, ob ein US-Unternehmen sich zur Einhaltung der Grundsätze des Datenschutzschildes verpflichtet.

Ebenfalls eingerichtet wurde bereits eine Homepage (How to submit a complaint), auf der betroffene Personen aus Europa Informationen dazu erhalten, an welche Stellen sie sich bei einer möglicherweise rechtswidrigen Verarbeitungen ihrer Daten wenden können.

EU-US Privacy Shield: Europäische Datenschützer fordern Verbesserung – zur Not will man klagen

Am 6. und 7. April 2016 haben sich die deutschen Datenschutzbehörden zu ihrer ein 90 Konferenz in Schwerin getroffen. Im Rahmen dieses Treffens wurde unter anderem auch die vorgeschlagene Angemessenheitsentscheidung der europäischen Kommission zum neuen EU-US Privacy Shield beraten. Ob gewollt oder nicht, in dem nun veröffentlichten Beschluss der Konferenz der unabhängigen Datenschutzbehörden (pdf) veröffentlichen die Datenschützer bereits jetzt das Ergebnis der Prüfung des EU-US Privacy Shield durch die sogenannte Art. 29 Gruppe, die Versammlung aller europäischen Datenschutzbehörden. Der nun veröffentlichte Beschluss dient als Mandat für die Vertreter der deutschen Behörden in diesem Gremium.

(Update: Der Link zu dem Beschluss wurden zwischenzeitlich von den Webseiten der Behörden entfernt. Mit einer gewissen Vorahnung habe ich das Dokument aber direkt heruntergeladen, als es noch online verfügbar war. Den Beschluss stelle ich hier gerne zur Verfügung: Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe).

Im bisherigen Text der Stellungnahme der Art. 29 Datenschutzgruppe finden sich folgende Schlussfolgerungen und Ergebnisse:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

Das Mandat der deutschen Vertreter soll insbesondere die Argumentationslinie umfassen, dass der bislang vorgelegte Entwurf der Adäquanzentscheidung nicht genügt, um von einem angemessenen (essentially equivalent) Datenschutzniveau sprechen zu können.

Auf der Basis der derzeit vorgelegten Dokumente können die Art. 29 Datenschutzgruppe keine zustimmende Stellungnahme abgeben.

Zu beachten ist freilich, dass die Stellungnahme der europäischen Datenschützer keine bindende Wirkung hat. Sollte diese also tatsächlich negativ ausfallen, so würde dies die europäische Kommission nicht daran hindern, die Angemessenheit Entscheidung dennoch anzunehmen. Diesen Fall scheinen die deutschen Datenschutzbehörden vorherzusehen. In dem Mandat für die deutschen Vertreter findet sich nämlich auch die Vorgabe, sich dafür einzusetzen, dass für den Fall, dass die Kommission die Adäquanzentscheidung trifft, ohne die Defizite auszuräumen, die Art. 29 Gruppe befürworten werde,

dass diese Entscheidung (etwa durch Musterklagen einzelner Datenschutzaufsichtsbehörden) durch Vorlage an den EuGH überprüft wird.

Die folgenden Tage und Wochen im Rahmen der Verhandlung um den EU-US Privacy Shield dürfen auf der Grundlage dieser Informationen mit Spannung verfolgt werden.

Update:
Nach wenigen Stunden und der Verbreitung (insb. international) der Information, dass die deutschen Behörden das oben verlinkte Dokument zum Privacy Shield veröffentlicht haben, ist das Dokument nun auf keiner Webseite der deutschen Behörden zu finden.

Checkliste des Europäischen Gerichtshofs: Anforderungen erfüllt?

Ich selbst konnte noch nicht alle Materialien sichten, die am Montag zum EU-US Privacy Shield veröffentlicht wurden. Bei so umfangreichen Dokumenten, gerade mit juristischem Inhalt, finde ich es oft hilfreich und unabdingbar, wenn man eine systematische Sichtung vornimmt. Insbesondere bei der Frage, ob der nun von der Europäischen Kommission veröffentlichte Entwurf einer Angemessenheitsentscheidung (pdf) die Anforderungen des Europäischen Gerichtshofs (EuGH) gerecht wird, die im Urteil zu Safe Harbor (C‑362/14) aufgestellt wurden, bietet sich meines Erachtens eine Art Checkliste an. Hier die Vorgaben des EuGH, dort die Maßnahmen der Kommission. Nachfolgend habe ich in einem ersten Schritt und sicherlich ohne Anspruch auf Vollständigkeit versucht, die Abarbeitung der Checkliste des EuGH durch die Kommission darzustellen und teilweise auch ein wenig inhaltlich zu bewerten. Verweise auf „Erwägungsgründe“ beziehen sich auf solche des Entwurfs der Angemessenheitsentscheidung.

C‑362/14, Rz 81:

Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis in Art. 25 Abs. 6 der Richtlinie 95/46 verstößt, …

Auch das Privacy Shield wird auf einem System der Selbstzertifizierung beruhen (vgl. Erwägungsgrund 14; US Unternehmen verpflichten sich, die Privacy Shield Principles („Prinzipien“) (Annex II) einzuhalten).

C-362/14, Rz. 81:

… beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.

Die Überwachung der Einhaltung der Prinzipien erfolgt durch das US-Handelsministerium. Dieses veröffentlicht eine Liste mit Unternehmen, die aktuell zertifiziert sind. Zudem wird es eine Liste geben, die Unternehmen enthält, deren Zertifizierung aufgehoben wurde und den Grund hierfür (vgl. Erwägungsgrund 24). Die jährlichen Anträge von Unternehmen auf Neuzertifizierung werden ebenfalls veröffentlicht (vgl. Erwägungsgrund 25). Verliert ein Unternehmen sein Zertifikat oder nicht mehr teil, so muss es sich dennoch weiterhin zum Schutz der zuvor erhaltenen Daten verpflichten (vgl. Erwägungsgrund 26). Das US-Handelsministerium wird von Amts wegen die Angaben der teilnehmenden Unternehmen prüfen und auch überwachen, ob ehemalige Teilnehmer wirklich nicht mehr mit einer Zertifizierung werben (vgl. Erwägungsgrund 28).

Die Kontrolle und Durchsetzung der Vorgaben des Privacy Shield wird durch die Federal Trade Commission (FTC), das Verkehrsministerium oder andere Vollstreckungsbehörden erfolgen (vgl. Erwägungsgrund 15; Annex IV und V).  Falsche Angaben zur Teilnahme an dem Programm werden von diesen Behörden verfolgt (vgl. Erwägungsgrund 27).

Die Durchsetzung der Betroffenenrechte gegenüber US-Unternehmen gliedert sich in mehrere Phasen und baut auf verschiedenen Eskalationsstufen auf:

1.
Ein Betroffener wendet sich an das Unternehmen, von dem er vermutet, dass es personenbezogene Daten entgegen den Privacy Shield Prinzipien verarbeitet. Hierzu muss eine Kontaktperson im oder außerhalb des Unternehmens eingerichtet sein, an die sich der Betroffene wenden kann. Innerhalb von 45 Tagen muss eine Antwort auf Beschwerde erfolgen, die sich auch inhaltlich mit der Beschwerde auseinandersetzen und erforderlichenfalls darlegen, welche Maßnahmen ergriffen werden, um das Problem zu lösen (vgl. Erwägungsgrund 30).

2.
Unternehmen müssen eine unabhängige Streitschlichtungsstelle (in den USA oder der EU) bestimmen, an die sich Betroffene wenden können. Beschwerden an diese Stellen müssen kostenlos möglich sein. Diese Stellen müssen die Möglichkeit haben, effektive Sanktionen und Strafen gegenüber einem Unternehmen auszusprechen. Hierzu gehört u.a. auch die Beendigung der Datenverarbeitung und die Datenlöschung. Solche Stellen müssen jährlichen einen Bericht über durchgeführte Verfahren anfertigen (vgl. Erwägungsgrund 31). Falls sich ein Unternehmen nicht an die Entscheidung der Streitschlichtungsstelle hält, dann muss die Streitschlichtungsstelle dies an US-Handelsministerium und (!) die FTC bzw. die jeweils zuständige Vollzugsbehörde melden (vgl. Erwägungsgrund 33).

3.
Durch das US-Handelsministerium findet eine regelmäßige Überwachung der Datenschutzerklärungen mit Blick auf die Einhaltung der Prinzipien teilnehmender Unternehmen statt (vgl. Erwägungsgrund 34). Zudem wird ein eigenes Verfahren für Beschwerden von EU-Datenschutzbehörden eingerichtet, die das US-Handelsministerium prüft. Innerhalb von 90 Tagen muss das US-Handelsministerium eine Rückmeldung an die jeweilige Datenschutzbehörde geben. Betroffene können sich so direkt an „ihre“ Datenschutzbehörde wenden, die dann die Beschwerde an das US-Handelsministerium weiterleitet (vgl. Erwägungsgrund 36). Zudem überwacht das US-Handelsministerium, ob teilnehmende Unternehmen wirklich an einer Verfahren der unabhängigen Streitschlichtung teilnehmen (vgl. Erwägungsgrund 37). Wenn andauernde Verstöße eine Unternehmens gegen die Prinzipien festgestellt werden, dann wird das Unternehmen von der Liste der Teilnehmer gelöschte; eine Löschung erfolgt auch, wenn sich ein Unternehmen nicht an den Spruch bzw. Anweisungen der unabhängigen Streitschlichtungsstelle, an die Vorgaben einer EU-Datenschutzbehörde oder der FTC oder anderer Vollzugsbehörden hält (vgl. Erwägungsgrund 38).

4.
Die FTC wird der Bearbeitung von Beschwerden des US-Handelsministeriums, der unabhängigen Streitschlichtungsstellen, von privaten Selbstverpflichtungsstellen und auch von EU-Datenschutzbehörden Priorität einräumen. Zudem wird eine Kontaktstelle für Beschwerden von EU- Datenschutzbehörden eingerichtet. Des Weiteren sollen direkte Beschwerden von Betroffenen an die FTC möglich sein (vgl. Erwägungsgrund 40).

5.
Werden personenbezogene Daten von Mitarbeitern im Kontext des Arbeitsverhältnisses verarbeitet, dann muss das US-Unternehmen die Zuständigkeit der jeweiligen EU-Datenschutzbehörde für die Prüfung und Überwachung der Einhaltung der Vorgaben der Prinzipien anerkennen und diese bei der Abarbeitung von Beschwerden unterstützen. Zudem gilt dies auch, wenn sich US-Unternehmen freiwillig der Aufsicht von EU-Datenschutzbehörden unterwerfen. Zudem wird bei der Bearbeitung von Beschwerden das US-Handelsministerium unterstützen (vgl. Erwägungsgrund 42). Die zuständige EU-Datenschutzbehörde kann, wenn sie der Auffassung ist, dass Daten nicht entsprechend den Vorgaben der Prinzipien geschützt werden, gegen den europäischen Datenexporteur vorgehen und Transfers auch untersagen (vgl. Erwägungsgrund 44). Falls eine EU-Datenschutzbehörde untätig bleibt, kann der Betroffene dagegen vor nationalen Gericht vorgehen (vgl. Erwägungsgrund 45).

6.
Letzte Station des sog. „Regressmechanismus“ ist ein Schiedsgericht, welches die Kompetenz hat, für teilnehmende Unternehmen bindende Entscheidungen zu treffen (das „Privacy Shield Panel“). Das Panel wird aus mindestens 20 Schiedsrichtern bestehen, die von dem US-Handelsministerium und der Kommission ausgewählt werden. Für jede Beschwerde werden die Parteien entweder einen Schiedsrichter oder drei Schiedsrichter auswählen. Die Verhandlungen finden in den USA statt, wobei eine Videoübertragung möglich ist (vgl. Erwägungsgrund 46). Die Anrufung des Schiedsgerichts ist immer möglich, wenn ein Betroffener der Meinung ist, dass eine vorherige Maßnahme einer US-Behörde (z.B. der FTC) seiner Beschwerde nicht völlig abgeholfen hat. Das Schiedsgericht ist nicht zuständig, wenn das US-Unternehmen der Zuständigkeit einer EU-Datenschutzbehörde unterliegt (bei Beschäftigtendaten oder freiwillig) (vgl. Erwägungsgrund 47).

C-362/14, Rz. 82:

Diese Grundsätze gelten somit nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird.

Auch unter dem Privacy Shield sollen die Prinzipien nicht für US-Behörden gelten. Der EuGH hat aber auch nicht geurteilt, dass dies zwingend erforderlich wäre. Als Ausgleich scheint man auf die Zusicherungen seitens der US-Regierung und die Erläuterungen zu den Vorgaben des US-Rechts zu bauen. Zudem soll die Stelle eines Ombudsmannes eingerichtet werden, der für Beschwerden von Betroffenen zuständig ist, die eine Datenverarbeitung durch Geheimdienste betreffen.

C-362/14, Rz. 83:

… sie enthält dagegen keine hinreichenden Feststellungen zu den Maßnahmen, mit denen die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen im Sinne von Art. 25 Abs. 6 der Richtlinie ein angemessenes Schutzniveau gewährleisten.

Die Angemessenheitsentscheidung der Kommission trifft nun entsprechende Feststellungen. Insbesondere hinsichtlich innerstaatlicher Rechtsvorschriften, deren Anwendung in Briefen verschiedener Behörden näher erläutert werden. Ob diese Vorschriften materiell ein „angemessenes Schutzniveau“ erzeugen, ist eine andere Frage. Die Kommission geht davon aus (vgl. Erwägungsgrund 116, der sich auf die Feststellungen in Erwägungsgründen 52 ff. bezieht).

C-362/14, Rz. 84:

Hinzu kommt, dass die Geltung der genannten Grundsätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u. a. „insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie „durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.

Auch diese Ausnahme findet sich im Privacy Shield (Annex II, Ziffer I.5; vgl. auch Erwägungsgrund 52). Eine inhaltlich Veränderung wurde nicht vorgenommen. In Erwägungsgrund 53 verweist die Kommission auf die drei Zwecke, für die die Geltung der Prinzipien begrenzt werden kann. Die Begrenzung der Prinzipien in diesen Fällen wurde von der Kommission geprüft, insbesondere inwiefern und in welchem Ausmaß Zugriffe für diese Zwecke möglich sind.

C-362/14, Rz. 86:

In der Entscheidung 2000/520 wird somit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor den Grundsätzen des „sicheren Hafens“ eingeräumt; aufgrund dieses Vorrangs sind die selbstzertifizierten US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grundsätze des „sicheren Hafens“ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.

Auch im Privacy Shield scheint dieser Vorrang des US-Rechts, in den Ausnahmefällen, möglich zu sein. Dies allein hat aber auch im EuGH-Urteil noch nicht zur Aufhebung der Safe Harbor-Entscheidung geführt. Entscheidend kommt es meines Erachtens auf die Schlussfolgerungen in den nächsten beiden Randziffern an.

C-362/14, Rz, 87:

Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten.

Auch unter dem Privacy Shield sind also Eingriffe in Grundrechte möglich, denn die Ausnahmen für die Begrenzung der Prinzipien sind auch hier enthalten. Dies bedeutet freilich noch nicht per se, dass eine Verletzung von Grundrechten vorliegt. Ein Eingriff kann auch gerechtfertigt sein. Das zeigt auch Randziffer 88 des EuGH-Urteils.

C-362/14, Rz. 88:

Überdies enthält die Entscheidung 2000/520 keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.

Auf diese „Begrenzung“ der Eingriffe in Grundrechte bezieht sich Erwägungsgrund 53 und die darauf folgende Prüfung durch die Kommission. Nach dem Urteil des EuGH, können solche Eingriffe auch durchaus auf berechtigte Ziele gestützt werden. Es muss jedoch eine klare Begrenzung existieren. Nach den Feststellungen der Kommission existieren eindeutige Begrenzungen für Zugriffe auf unter dem Privacy Shield übertragene Daten im US- Recht (vgl. Erwägungsgrund 55).

Die Frage wird (im Falle eines Verfahrens vor dem EuGH) freilich sein, ob diese Feststellung auch inhaltlich ausreichen. Wichtig scheint mir, dass es hier um den potentiellen oder tatsächlichen Zugriff auf übertragene oder noch zu übertragende Daten an ein US-Unternehmen geht, welches am Privacy Shield teilnimmt (in Rz. 84, 85, 86 und 87 geht der EuGH von der Situation aus, dass Daten übertragen wurden oder noch werden; es geht hier noch nicht um die Frage, was die Geheimdienste sonst alles machen können, also etwa auch außerhalb des US-Staatsgebietes). Meines Erachtens spricht die Kommission in ihren Feststellungen daher stets auch nur von „limitations on access“ (vgl. Erwägungsgründe 53, 54, 55).

Im Rahmen der Prüfung und Feststellungen der Begrenzungen widmet sich die Kommission insbesondere der „Presidential Policy Directive 28“ (PPD-28, die sich auf das Sammeln von Daten durch den Geheimdienst außerhalb USA, etwa auch durch Zugriffe auf Glasfaserkabel, bezieht) und dem „Foreign Intelligence Surveillance Act“ (FISA, der sich u.a. auf den Zugriff auf Daten bezieht, wenn diese in den USA angekommen sind).

Klar wird auch darauf hingewiesen, dass ein massenhaftes Sammeln von Daten („bulk collection“) im Ausland weiterhin durchgeführt wird (vgl. etwa Erwägungsgründe 59 und 69). Nach Feststellung der Kommission betrifft dies jedoch nur eng begrenzte  Ausnahmefälle. Des Weiteren wird der Zugriff auf diese gesammelten Daten auf bestimmte, festgelegte Zwecke der nationalen Sicherheit begrenzt (vgl. Erwägungsgrund 63). Auch hier wird man ein mögliches neues Verfahren vor dem EuGH abwarten müssen, ob die Feststellungen der Kommission ausreichend sind. Ihr Ergebnis hält die Kommission in Erwägungsgrund 75 fest.

C-362/14, Rz. 89:

Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält.

Diese Aussage des EuGH bezieht sich auf Maßnahmen staatlichen Ursprungs. Vollzugsbehörden wie die FTC haben in diesem Bereich nämlich keine Kompetenz.

Ihre Feststellungen zu den Rechtsschutzmöglichkeiten hält die Kommission in Erwägungsgrund 95 ff. fest. Auch hier ist meines Erachtens offen, ob die materiell-rechtlichen Gegebenheiten des US-Rechts ausreichend sind. Selbst die Kommission ging aber davon aus, dass allein das geltende US-Recht nicht ausreichend war. Daher wird die Stelle eines Ombudsmannes im Außenministerium eingerichtet (vgl. Erwägungsgrund 100). Dieser (zu Beginn soll wohl eine Unterstaatssekretärin diese Aufgabe übernehmen) ist zuständig für Beschwerden hinsichtlich des Erhebens von Daten durch Geheimdienste.

C-362/14, Rz. 90:

… fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Hier verwies der EuGH auf Feststellungen der Kommission aus dem Jahre 2013, in denen sie die Einhaltung von Safe Harbor untersuchte.

Die Kommission stellt nun fest, dass für den Zugriff und die Verwendung von gesammelten Daten enge Begrenzungen existieren (vgl. etwa in Erwägungsgrund 61). Hierdurch möchte man anscheinend den Vorgaben des EuGH Rechnung tragen, dass ein Zugriff und eine Verarbeitung auf übertragene Daten auf ein absolut notwendiges Mindestmaß beschränkt sein muss. In Erwägungsgrund 63 stellt die Kommission dann auch tatsächlich fest, dass die Vorgaben des US-Rechts im Kern Beschränkungen von Zugriffen auf das absolut notwendige und verhältnismäßige Maß vorsehen.

Hinsichtlich der Rechtsbehelfe und Rechte der Betroffenen stellt die Kommission in Erwägungsgrund 98 grundsätzlich fest, dass ein Recht auf Zugang zu Daten existiert. Aber nach Auffassung der Kommission ist dessen Durchsetzung in der Praxis wohl oft kaum möglich. Auch aus diesem Grund sei der Ombudsmann geschaffen worden, der sich um Anfragen von Betroffenen hinsichtlich des Datenumgangs durch Geheimdienste kümmern soll. Ihre Feststellungen zu den existierenden Rechtsbehelfen gegenüber einer unzulässigen Datenverarbeitung durch Geheimdienste trifft die Kommission allgemein in den Erwägungsgründen 95 ff.

C-362/14, Rz. 93:

Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen

Mit den vom EuGH geforderten „Beschränkungen“ des Zugangs zu übermittelten Daten im US-Recht befasst sich die Kommission in Erwägungsgrund 56 ff. Auch hier ist meines Erachtens zu beachten, dass der EuGH sich auf eine Speicherung von Daten bezieht, die bereits in die USA übermittelt wurden. Die also bei US-Unternehmen vorhanden sind. Den Ansatz der Kommission, sich auf die Frage des „Zugangs“ zu Daten und deren „Verwendung“ durch US-Behörden zu beschränken, finde ich daher nicht verkehrt. In Erwägungsgrund 63 stellt die Kommission fest, dass eine Verwendung von Daten auf eng begrenzte Zwecke der nationalen Sicherheit beschränkt ist. Auch hinsichtlich dieser Vorgabe für ein „angemessenes Schutzniveau“ wird man aber sicherlich auch Zweifel haben können bzw. genau prüfen müssen, ob tatsächlich ein „Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke“ beschränkt ist.

C-362/14, Rz. 94:

Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens

In Erwägungsgrund 62 stellt die Kommission gerade auch in Bezug auf eine Sammlung von Daten während deren Übermittlung durch transatlantische Kabel fest, dass nach den Zusagen der US-Behörden ein Zugriff auf diese Daten nur in eng begrenztem Umfang und unter Beachtung gewisser Schutzmaßnahmen stattfindet. Die Kommission geht nicht von einem generellen Zugriff auf den Inhalt, sondern von der Beachtung der Vorgaben einer Beschränkung auf das absolut Notwendige und die Beachtung des Grundsatzes der Verhältnismäßigkeit aus (vgl. Erwägungsgrund 63 und insgesamt die Feststellung hierzu in Erwägungsgrund 116).

C-362/14, Rz. 95:

Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.

Zu den Feststellungen der Kommission hinsichtlich der Rechtsbehelfe, hatte ich bereits oben auf entsprechende Erwägungsgrunde verwiesen (Erwägungsgründe 95 ff.). Zusätzlich wird im Außenministerium die Stelle des Ombudsmannes geschaffen. Ob diese Maßnahmen am Ende einer rechtlichen Prüfung standhalten und insbesondere die Rechte auf Zugang, Berichtigung und Löschung auch im Bereich der Datenverarbeitung durch US-Geheimdienste vollumfänglich vorhanden sind, kann man sicherlich bezweifeln. Eventuell muss man aber auch erst einmal die Aufnahme der Tätigkeit des Ombudsmannes abwarten.

Fazit

Insgesamt lässt sich meines Erachtens feststellen, dass die Kommission hier vor einer riesen Aufgabe stand. Mit Blick auf den privaten Sektor wurden tatsächlich viele Verbesserungen gegenüber Safe Harbor erreicht. Allein die Ausführlichkeit der Prinzipien ist beeindruckend. Es gilt aber freilich auch, diese in der Praxis um- und durchzusetzen. Auch dafür sind aber dem Grunde nach alle Voraussetzungen gegeben.

Was den Bereich der US-Behörden, insbesondere der Geheimdienste betrifft, darf wohl sicherlich hinter einige Feststellungen der Kommission ein Fragezeichen setzen. Auch wenn dieser Abschnitt insgesamt massiv aufgewertet wurde und in jedem Fall nun die vom EuGH vermissten „Feststellungen“ an sich getroffen wurden. Was den Inhalt der Feststellungen und die Herstellung eines „angemessenen Schutzniveaus“ anbelangt, so wird es dazu wohl bis zu einer neuen Entscheidung des EuGH verschiedene Meinungen geben.

The birth of the EU-US Privacy Shield – Minutes of the meeting of the European Commission

On 2 February 2016, the Vice-President of the European Commission, Andrus Ansip and Justice Commissioner Vera Jouravá publicly announced the political agreement with the American government for the new EU-US Privacy Shield (press release).

Shortly before, the College of Commissioners met, chaired by President Juncker to be informed by Ms. Jourovà about the agreement reached and the coarse content of the Privacy Shield. In addition, the College established the general guidelines on how to proceed. The protocol for this session has now been published (pdf). Some excerpts from the minutes of the meeting:

First Vice-President Frank Timmermans

referred to the American authorities‘ proposal to set up a mediation structure for legal challenges by European citizens concerning access to their personal data for national security purposes. He stressed that the structure would be under the responsibility of the American Secretary of State, as confirmed to him by Mr John Kerry. On a more general note, Mr TIMMERMANS considered that the arrangement met the criteria set out by the Court of Justice of the European Union in the Schrems case (C-362/14).

Vice-President Andrus Ansip

considered the acceptance of this package at the highest political level to be further evidence of the binding nature of the future agreement. To conclude, he stated that, for all these reasons, the future arrangement would be fundamentally different from the one which had preceded it.

Commissioner Vera Jourová

mentioned the explanations and assurances provided by the American authorities to show that access to data for national security purposes was restricted, under American law, to what was strictly necessary and proportionate.

suggested calling it the ‘EU-US Privacy Shield’ and possibly designing a label for it, to be displayed by undertakings that adhered to its protection standards.

Die Geburt des EU-US Privacy Shield – Protokoll zur Sitzung der Europäischen Kommission

Am 2. Februar 2016 gaben der Vizepräsident der Europäischen Kommission, Andrus Ansip und Justizkommissarin Vera Jouravá die politische Einigung mit der amerikanischen Regierung für das neue EU-US Privacy Shield bekannt (Pressemitteilung).

Kurz zuvor traf sich das Kommissionskollegium, unter Vorsitz von Präsident Juncker, um von Frau Jourovà über diese Einigung und den groben Inhalt des Privacy Shield unterrichtet zu werden. Zudem stellte das Kollegium die generellen Leitlinien für das weitere Vorgehen auf. Das Protokoll zu dieser Sitzung wurde nun veröffentlicht (pdf).

Zunächst stellte der erste Vizepräsident der Kommission, Frank Timmermans, klar, dass es immer noch einige offene Punkte geben würde, die mit der amerikanischen Regierung behandelt werden müssten. (Anm. d. Autors: Man beachte, dass die Sitzung des Kollegiums am 2. Februar 2016, nur kurz vor der öffentlichen Verkündung der politischen Einigung stattfand. Welche Punkte noch offen waren, wurde jedoch nicht näher angesprochen).

Unbeschadet dieser noch zu klärenden Themen ging Herr Timmermans davon aus, dass die Zugeständnisse seitens der amerikanischen Regierung und zusätzlichen Schutzmaßnahmen es nun ermöglichen sollten, ein starkes und verlässliches Instrument zu finden, welches den transatlantischen Datenfluss zu wirtschaftlichen Zwecken regelt.

Zudem wies Herr Timmermans positiv auf den vorgesehenen Streitschlichtungsmechanismus für Rechtsbehelfe von europäischen Bürgern für den Fall hin, dass auf ihre Daten für Zwecke der nationalen Sicherheit zugegriffen wird. Zudem stellte Herr Timmerans klar, dass die Struktur des Streitschlichtungsmechanismus für diese Angelegenheiten unter der Verantwortlichkeit des Außenministeriums eingerichtet werden wird, was ihm vom amerikanischen Außenminister, John Kerry, bestätigt worden sei. Die nun erzielte Einigung erfülle die Anforderungen, welche der europäische Gerichtshof in seinem Schrems-Urteil (C-362/14) aufgestellt habe.

Vizepräsident Andrus Ansip hob positiv die dynamische Natur der nun gefundenen Einigung hervor, insbesondere dass diese jährlich auf ihre Effektivität überprüft werden würde.

Zudem wies Herr Ansip darauf hin, dass die Zustimmung zu diesem Paket auf der höchsten politische Ebene zusätzlich den Beweis dafür erbringe, dass die zukünftige Einigung bindender Natur sei.

Justizkommissarin Vera Jourová verwies auf die Erläuterungen und auch Zugeständnisse der amerikanischen Behörden, welche belegen würden, dass der Zugang zu personenbezogenen Daten für Zwecke der nationalen Sicherheit nach amerikanischem Recht nur in engen Grenzen und nur in verhältnismäßigen Umfang möglich sei. Zudem verwies die Justizkommissarin darauf, dass allen verhandelten Maßnahmen auf der höchsten politischen Ebene der amerikanischen Regierung zugestimmt worden seien.

Nach Ansicht der Justizkommissarin stellt die neue Vereinbarung einen guten Ausgleich zwischen dem Recht auf Privatsphäre, dem Recht auf Sicherheit und den berechtigten Interessen der Wirtschaft dar. Jedoch verwies ja auch darauf, dass noch einige Punkte zu klären sein, insbesondere die Frage nach der Rolle der europäischen Datenschutzbehörden im Fall der Einleitung eines Schiedsverfahrens in Amerika.

Zudem schlug die Justizkommissarin Jourová vor, dieses neue Instrument „EU-US Privacy Shield“ zu nennen und hierfür ein Symbol zu entwickeln, welches von Unternehmen verwendet werden soll, die an dem entsprechenden selbst Zertifizierungsprogramm teilnehmen und sich an die Schutzstandards halten.

Zum Abschluss wurde seitens des Kollegs noch darauf hingewiesen, dass hinsichtlich dieses besonders sensiblen und gleichzeitig komplexen Themas einer tadellosen und gut begründeten Kommunikationsstrategie bedürfe. Insbesondere müssen hierbei die teilweise extremen gegensätzlichen Ansichten berücksichtigt werden.

German government demands information and documents from the European Commission

So far little is known about the specific content of the EU-US Privacy Shield. In a meeting of the Committee on the Digital Agenda in the German Bundestag on 17 February 2016, the Federal Commissioner for Data Protection, Ms. Voßhoff, confirmed once again, that both the German and European data protection authorities are still not aware of any information on a draft of a adequacy decision by the European Commission (notification of the Bundestag, German).

The German government seems to be getting impatient, as regards the precise content of the political agreement between the European Commission and the US Government. A document (pdf) from the German delegation in the Council of the European Union has now been published, which is addressed to the Presidency of the Council, in which the German delegation clarifies that “the upcoming weeks should be used for a close dialogue between the Member States, the Commission, the Article 29 Working Party and the US Government in order to achieve a legal framework that meets the conditions set out by the European Court of Justice”.

In its letter to the Presidency, the German delegation also invites the European Commission to provide the Member States in the Council with the details of the agreement with the American government and it shall provide all relevant documents to the Council. This would enable the Member States to assess the outcomes of the agreement and to enter into a close dialogue with all parties involved.

In the document, the Presidency also announces that this issue will be treated under Any Other Business at the meeting of the Competitiveness Council on 29 February 2016.

Deutsche Regierung verlangt Informationen und Dokumente von der Europäischen Kommission

Bisher ist wenig über den konkreten Inhalt des EU-US Privacy Shield bekannt. In einer Sitzung des Ausschusses Digitale Agenda im Deutschen Bundestag am 17. Februar 2016, bestätigte auch die Bundesbeauftragte für den Datenschutz, Frau Voßhoff, noch einmal, dass sowohl die deutschen als auch die europäischen Datenschutzbehörden derzeit noch keine Kenntnis und Informationen zu einem Entwurf einer entsprechenden Angemessenheitsentscheidung der europäischen Kommission haben (Meldung des Bundestages).

Auch die deutsche Bundesregierung scheint langsam ungeduldig zu werden, was die genaueren Inhalte der politischen Einigung zwischen der Europäischen Kommission und der amerikanischen Regierung betrifft. So wurde nun ein Dokument (pdf) der deutschen Delegation im Rat der Europäischen Union veröffentlicht, welches an die derzeitige Präsidentschaft im Rat gerichtet ist, in dem die deutsche Delegation klarstellt, dass die kommenden Wochen für enge Dialoge zwischen den Mitgliedstaaten, der Kommission, der Art. 29 Datenschutzgruppe und amerikanischen Regierung genutzt werden sollten, um die rechtlichen Grundlagen zu schaffen, damit das Privacy Shield den Anforderungen des Europäischen Gerichtshofs genügt.

In ihrem Schreiben an die Ratspräsidentschaft fordert die deutsche Delegation zudem, dass die europäische Kommission den Mitgliedstaaten im Rat über die Details der Vereinbarung mit der amerikanischen Regierung Bericht erstattet und alle relevanten Dokumente zur Verfügung stellt. Nur so könnten die europäischen Mitgliedstaaten sich selbst ein Bild der bisher ausgehandelten Inhalte machen und in den Dialog mit den einzelnen beteiligten Parteien treten.

In dem Dokument kündigt die Ratspräsidentschaft zudem an, dass diese Anfrage am 29. Februar bei der Tagung des Rates behandelt wird.

Rechtsschutz nur für EU-Bürger: Juristischer Dienst des europäischen Parlaments hat Bedenken

Bekanntlich ist der genauere Inhalt des EU-US Privacy Shield (zum einen des entsprechenden Programms der Selbstverpflichtung für amerikanische Unternehmen und zum anderen der Angemessenheitsentscheidung der Europäischen Kommission) noch nicht veröffentlicht worden.

Ein nun auf der Plattform statewatch.org veröffentlichtes Gutachten (pdf) des juristischen Dienstes des Europäischen Parlaments zum sog. „EU-US Umbrella Agreement“ und dessen (Un-)Vereinbarkeit mir europäischen Grundrechten, könnte jedoch auch Bedeutung für die Wirksamkeit des künftigen EU-US Privacy Shield haben. Zumindest die Argumentation des juristischen Dienstes in jener Angelegenheit und die aufgezeigten grundrechtlichen Defizite könnten auch beim Privacy Shield eine Rolle spielen.

EU-US Privacy Shield: Rechtschutz nur für EU-Bürger?
Justizkommissarin Vera Jourová erklärte in der Pressemitteilung der Europäischen Kommission zur politischen Einigung über das Privacy Shield, dass „EU-Bürger“ nun von Rechtsschutzmöglichketen profitieren sollen („Also for the first time, EU citizens will benefit from redress mechanisms in this area”). Auch in den allgemeinen Informationen zum Privacy Shield ist die Rede vom effektiven Schutz der Rechte von EU-Bürgern („Effective protection of EU citizens‘ rights with several redress possibilities“).

Auf Twitter hatte ich bereits hingewiesen, dass eine Beschränkung des Schutzbereichs allein auf EU-Bürger rechtlich problematisch sein könnte:

Europarechtliche Vorgabe: Schutz für jede Person
Hintergrund ist, dass zum einen die Charta der Grundrechte der Europäischen Union (in Art. 8 Abs. 1) den Schutz personenbezogener Daten „jeder Person“ zukommen lässt, die sich im Anwendungsbereich der Charta aufhält. Auch das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 Abs. 1 Charta steht „jeder Person“ zu. Entsprechend gewährt etwa Art. 22 der Datenschutz-Richtlinie (RL 95/46/EG) auch „jeder Person“ das Recht, bei der Verletzung ihrer Rechte bei Gerichten ein Rechtsbehelf einlegen zu können. Die europäischen Grundlagen zum Schutz Person bezogenen Daten gelten also nicht nur für EU-Bürger, sondern für jede natürliche Person, die sich im Anwendungsbereich der Charta bzw. der Datenschutz-Richtlinie aufhält.

Gutachten des juristischen Dienstes
In dem oben erwähnten Gutachten zum EU-US Datenschutzabkommen für den Bereich der polizeilichen Zusammenarbeit kommt der juristische Dienst des Parlaments zu dem Ergebnis, dass jenes Datenschutzabkommen gegen europäische Grundrechte verstößt, weil sich die USA in diesem internationalen Abkommen allein dazu verpflichten EU-Bürgern Rechtsschutzmöglichkeiten bei unzulässiger Verarbeitung personenbezogener Daten zu gewähren.

Hierdurch würden, so der juristische Dienst, alle Nicht-EU-Bürger ausgeschlossen, die jedoch unter dem geltenden europäischen Recht sehr wohl die Möglichkeit auf einen wirksamen Rechtsbehelf vor einem Gericht und generell ein Recht auf den Schutz der sie betreffenden personenbezogenen Daten haben.

Zwar unterscheidet sich das EU-US Datenschutzabkommen seiner Natur nach von dem EU-US Privacy Shield. Bei Ersterem handelt es sich wohl um ein internationales Abkommen, bei letzterem um eine Angemessenheitsentscheidung der europäischen Kommission, die ihre Grundlage im sekundären EU-Recht, der Datenschutz-Richtlinie, findet. Dennoch ist die Argumentation, dass ein angemessenes Schutzniveau für personenbezogene Daten nur anerkannt werden könne, wenn in dem betreffenden Drittland dem Grunde nach die gleichen Schutzmechanismen (inkl. das Recht auf einen Rechtsbehelf für Nicht-EU-Bürger) gelten, wie innerhalb der EU, bei beiden Instrumenten valide. Man wird abwarten müssen, ob die Aussagen der Kommission in der Pressemitteilung eventuell nur ungenau formuliert waren und am Ende der Anwendungsbereich des EU-US Privacy Shield auch Nicht-EU-Bürger erfasst. Insgesamt ist dieser Aspekt meines Erachtens jedoch von zentraler Bedeutung für die Frage der Wirksamkeit des zukünftigen EU-US Privacy Shield.

EU-US Privacy Shield: Was wir bisher wissen.

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.