Checkliste des Europäischen Gerichtshofs: Anforderungen erfüllt?

Ich selbst konnte noch nicht alle Materialien sichten, die am Montag zum EU-US Privacy Shield veröffentlicht wurden. Bei so umfangreichen Dokumenten, gerade mit juristischem Inhalt, finde ich es oft hilfreich und unabdingbar, wenn man eine systematische Sichtung vornimmt. Insbesondere bei der Frage, ob der nun von der Europäischen Kommission veröffentlichte Entwurf einer Angemessenheitsentscheidung (pdf) die Anforderungen des Europäischen Gerichtshofs (EuGH) gerecht wird, die im Urteil zu Safe Harbor (C‑362/14) aufgestellt wurden, bietet sich meines Erachtens eine Art Checkliste an. Hier die Vorgaben des EuGH, dort die Maßnahmen der Kommission. Nachfolgend habe ich in einem ersten Schritt und sicherlich ohne Anspruch auf Vollständigkeit versucht, die Abarbeitung der Checkliste des EuGH durch die Kommission darzustellen und teilweise auch ein wenig inhaltlich zu bewerten. Verweise auf „Erwägungsgründe“ beziehen sich auf solche des Entwurfs der Angemessenheitsentscheidung.

C‑362/14, Rz 81:

Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis in Art. 25 Abs. 6 der Richtlinie 95/46 verstößt, …

Auch das Privacy Shield wird auf einem System der Selbstzertifizierung beruhen (vgl. Erwägungsgrund 14; US Unternehmen verpflichten sich, die Privacy Shield Principles („Prinzipien“) (Annex II) einzuhalten).

C-362/14, Rz. 81:

… beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.

Die Überwachung der Einhaltung der Prinzipien erfolgt durch das US-Handelsministerium. Dieses veröffentlicht eine Liste mit Unternehmen, die aktuell zertifiziert sind. Zudem wird es eine Liste geben, die Unternehmen enthält, deren Zertifizierung aufgehoben wurde und den Grund hierfür (vgl. Erwägungsgrund 24). Die jährlichen Anträge von Unternehmen auf Neuzertifizierung werden ebenfalls veröffentlicht (vgl. Erwägungsgrund 25). Verliert ein Unternehmen sein Zertifikat oder nicht mehr teil, so muss es sich dennoch weiterhin zum Schutz der zuvor erhaltenen Daten verpflichten (vgl. Erwägungsgrund 26). Das US-Handelsministerium wird von Amts wegen die Angaben der teilnehmenden Unternehmen prüfen und auch überwachen, ob ehemalige Teilnehmer wirklich nicht mehr mit einer Zertifizierung werben (vgl. Erwägungsgrund 28).

Die Kontrolle und Durchsetzung der Vorgaben des Privacy Shield wird durch die Federal Trade Commission (FTC), das Verkehrsministerium oder andere Vollstreckungsbehörden erfolgen (vgl. Erwägungsgrund 15; Annex IV und V).  Falsche Angaben zur Teilnahme an dem Programm werden von diesen Behörden verfolgt (vgl. Erwägungsgrund 27).

Die Durchsetzung der Betroffenenrechte gegenüber US-Unternehmen gliedert sich in mehrere Phasen und baut auf verschiedenen Eskalationsstufen auf:

1.
Ein Betroffener wendet sich an das Unternehmen, von dem er vermutet, dass es personenbezogene Daten entgegen den Privacy Shield Prinzipien verarbeitet. Hierzu muss eine Kontaktperson im oder außerhalb des Unternehmens eingerichtet sein, an die sich der Betroffene wenden kann. Innerhalb von 45 Tagen muss eine Antwort auf Beschwerde erfolgen, die sich auch inhaltlich mit der Beschwerde auseinandersetzen und erforderlichenfalls darlegen, welche Maßnahmen ergriffen werden, um das Problem zu lösen (vgl. Erwägungsgrund 30).

2.
Unternehmen müssen eine unabhängige Streitschlichtungsstelle (in den USA oder der EU) bestimmen, an die sich Betroffene wenden können. Beschwerden an diese Stellen müssen kostenlos möglich sein. Diese Stellen müssen die Möglichkeit haben, effektive Sanktionen und Strafen gegenüber einem Unternehmen auszusprechen. Hierzu gehört u.a. auch die Beendigung der Datenverarbeitung und die Datenlöschung. Solche Stellen müssen jährlichen einen Bericht über durchgeführte Verfahren anfertigen (vgl. Erwägungsgrund 31). Falls sich ein Unternehmen nicht an die Entscheidung der Streitschlichtungsstelle hält, dann muss die Streitschlichtungsstelle dies an US-Handelsministerium und (!) die FTC bzw. die jeweils zuständige Vollzugsbehörde melden (vgl. Erwägungsgrund 33).

3.
Durch das US-Handelsministerium findet eine regelmäßige Überwachung der Datenschutzerklärungen mit Blick auf die Einhaltung der Prinzipien teilnehmender Unternehmen statt (vgl. Erwägungsgrund 34). Zudem wird ein eigenes Verfahren für Beschwerden von EU-Datenschutzbehörden eingerichtet, die das US-Handelsministerium prüft. Innerhalb von 90 Tagen muss das US-Handelsministerium eine Rückmeldung an die jeweilige Datenschutzbehörde geben. Betroffene können sich so direkt an „ihre“ Datenschutzbehörde wenden, die dann die Beschwerde an das US-Handelsministerium weiterleitet (vgl. Erwägungsgrund 36). Zudem überwacht das US-Handelsministerium, ob teilnehmende Unternehmen wirklich an einer Verfahren der unabhängigen Streitschlichtung teilnehmen (vgl. Erwägungsgrund 37). Wenn andauernde Verstöße eine Unternehmens gegen die Prinzipien festgestellt werden, dann wird das Unternehmen von der Liste der Teilnehmer gelöschte; eine Löschung erfolgt auch, wenn sich ein Unternehmen nicht an den Spruch bzw. Anweisungen der unabhängigen Streitschlichtungsstelle, an die Vorgaben einer EU-Datenschutzbehörde oder der FTC oder anderer Vollzugsbehörden hält (vgl. Erwägungsgrund 38).

4.
Die FTC wird der Bearbeitung von Beschwerden des US-Handelsministeriums, der unabhängigen Streitschlichtungsstellen, von privaten Selbstverpflichtungsstellen und auch von EU-Datenschutzbehörden Priorität einräumen. Zudem wird eine Kontaktstelle für Beschwerden von EU- Datenschutzbehörden eingerichtet. Des Weiteren sollen direkte Beschwerden von Betroffenen an die FTC möglich sein (vgl. Erwägungsgrund 40).

5.
Werden personenbezogene Daten von Mitarbeitern im Kontext des Arbeitsverhältnisses verarbeitet, dann muss das US-Unternehmen die Zuständigkeit der jeweiligen EU-Datenschutzbehörde für die Prüfung und Überwachung der Einhaltung der Vorgaben der Prinzipien anerkennen und diese bei der Abarbeitung von Beschwerden unterstützen. Zudem gilt dies auch, wenn sich US-Unternehmen freiwillig der Aufsicht von EU-Datenschutzbehörden unterwerfen. Zudem wird bei der Bearbeitung von Beschwerden das US-Handelsministerium unterstützen (vgl. Erwägungsgrund 42). Die zuständige EU-Datenschutzbehörde kann, wenn sie der Auffassung ist, dass Daten nicht entsprechend den Vorgaben der Prinzipien geschützt werden, gegen den europäischen Datenexporteur vorgehen und Transfers auch untersagen (vgl. Erwägungsgrund 44). Falls eine EU-Datenschutzbehörde untätig bleibt, kann der Betroffene dagegen vor nationalen Gericht vorgehen (vgl. Erwägungsgrund 45).

6.
Letzte Station des sog. „Regressmechanismus“ ist ein Schiedsgericht, welches die Kompetenz hat, für teilnehmende Unternehmen bindende Entscheidungen zu treffen (das „Privacy Shield Panel“). Das Panel wird aus mindestens 20 Schiedsrichtern bestehen, die von dem US-Handelsministerium und der Kommission ausgewählt werden. Für jede Beschwerde werden die Parteien entweder einen Schiedsrichter oder drei Schiedsrichter auswählen. Die Verhandlungen finden in den USA statt, wobei eine Videoübertragung möglich ist (vgl. Erwägungsgrund 46). Die Anrufung des Schiedsgerichts ist immer möglich, wenn ein Betroffener der Meinung ist, dass eine vorherige Maßnahme einer US-Behörde (z.B. der FTC) seiner Beschwerde nicht völlig abgeholfen hat. Das Schiedsgericht ist nicht zuständig, wenn das US-Unternehmen der Zuständigkeit einer EU-Datenschutzbehörde unterliegt (bei Beschäftigtendaten oder freiwillig) (vgl. Erwägungsgrund 47).

C-362/14, Rz. 82:

Diese Grundsätze gelten somit nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird.

Auch unter dem Privacy Shield sollen die Prinzipien nicht für US-Behörden gelten. Der EuGH hat aber auch nicht geurteilt, dass dies zwingend erforderlich wäre. Als Ausgleich scheint man auf die Zusicherungen seitens der US-Regierung und die Erläuterungen zu den Vorgaben des US-Rechts zu bauen. Zudem soll die Stelle eines Ombudsmannes eingerichtet werden, der für Beschwerden von Betroffenen zuständig ist, die eine Datenverarbeitung durch Geheimdienste betreffen.

C-362/14, Rz. 83:

… sie enthält dagegen keine hinreichenden Feststellungen zu den Maßnahmen, mit denen die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen im Sinne von Art. 25 Abs. 6 der Richtlinie ein angemessenes Schutzniveau gewährleisten.

Die Angemessenheitsentscheidung der Kommission trifft nun entsprechende Feststellungen. Insbesondere hinsichtlich innerstaatlicher Rechtsvorschriften, deren Anwendung in Briefen verschiedener Behörden näher erläutert werden. Ob diese Vorschriften materiell ein „angemessenes Schutzniveau“ erzeugen, ist eine andere Frage. Die Kommission geht davon aus (vgl. Erwägungsgrund 116, der sich auf die Feststellungen in Erwägungsgründen 52 ff. bezieht).

C-362/14, Rz. 84:

Hinzu kommt, dass die Geltung der genannten Grundsätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u. a. „insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie „durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.

Auch diese Ausnahme findet sich im Privacy Shield (Annex II, Ziffer I.5; vgl. auch Erwägungsgrund 52). Eine inhaltlich Veränderung wurde nicht vorgenommen. In Erwägungsgrund 53 verweist die Kommission auf die drei Zwecke, für die die Geltung der Prinzipien begrenzt werden kann. Die Begrenzung der Prinzipien in diesen Fällen wurde von der Kommission geprüft, insbesondere inwiefern und in welchem Ausmaß Zugriffe für diese Zwecke möglich sind.

C-362/14, Rz. 86:

In der Entscheidung 2000/520 wird somit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor den Grundsätzen des „sicheren Hafens“ eingeräumt; aufgrund dieses Vorrangs sind die selbstzertifizierten US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grundsätze des „sicheren Hafens“ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.

Auch im Privacy Shield scheint dieser Vorrang des US-Rechts, in den Ausnahmefällen, möglich zu sein. Dies allein hat aber auch im EuGH-Urteil noch nicht zur Aufhebung der Safe Harbor-Entscheidung geführt. Entscheidend kommt es meines Erachtens auf die Schlussfolgerungen in den nächsten beiden Randziffern an.

C-362/14, Rz, 87:

Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten.

Auch unter dem Privacy Shield sind also Eingriffe in Grundrechte möglich, denn die Ausnahmen für die Begrenzung der Prinzipien sind auch hier enthalten. Dies bedeutet freilich noch nicht per se, dass eine Verletzung von Grundrechten vorliegt. Ein Eingriff kann auch gerechtfertigt sein. Das zeigt auch Randziffer 88 des EuGH-Urteils.

C-362/14, Rz. 88:

Überdies enthält die Entscheidung 2000/520 keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.

Auf diese „Begrenzung“ der Eingriffe in Grundrechte bezieht sich Erwägungsgrund 53 und die darauf folgende Prüfung durch die Kommission. Nach dem Urteil des EuGH, können solche Eingriffe auch durchaus auf berechtigte Ziele gestützt werden. Es muss jedoch eine klare Begrenzung existieren. Nach den Feststellungen der Kommission existieren eindeutige Begrenzungen für Zugriffe auf unter dem Privacy Shield übertragene Daten im US- Recht (vgl. Erwägungsgrund 55).

Die Frage wird (im Falle eines Verfahrens vor dem EuGH) freilich sein, ob diese Feststellung auch inhaltlich ausreichen. Wichtig scheint mir, dass es hier um den potentiellen oder tatsächlichen Zugriff auf übertragene oder noch zu übertragende Daten an ein US-Unternehmen geht, welches am Privacy Shield teilnimmt (in Rz. 84, 85, 86 und 87 geht der EuGH von der Situation aus, dass Daten übertragen wurden oder noch werden; es geht hier noch nicht um die Frage, was die Geheimdienste sonst alles machen können, also etwa auch außerhalb des US-Staatsgebietes). Meines Erachtens spricht die Kommission in ihren Feststellungen daher stets auch nur von „limitations on access“ (vgl. Erwägungsgründe 53, 54, 55).

Im Rahmen der Prüfung und Feststellungen der Begrenzungen widmet sich die Kommission insbesondere der „Presidential Policy Directive 28“ (PPD-28, die sich auf das Sammeln von Daten durch den Geheimdienst außerhalb USA, etwa auch durch Zugriffe auf Glasfaserkabel, bezieht) und dem „Foreign Intelligence Surveillance Act“ (FISA, der sich u.a. auf den Zugriff auf Daten bezieht, wenn diese in den USA angekommen sind).

Klar wird auch darauf hingewiesen, dass ein massenhaftes Sammeln von Daten („bulk collection“) im Ausland weiterhin durchgeführt wird (vgl. etwa Erwägungsgründe 59 und 69). Nach Feststellung der Kommission betrifft dies jedoch nur eng begrenzte  Ausnahmefälle. Des Weiteren wird der Zugriff auf diese gesammelten Daten auf bestimmte, festgelegte Zwecke der nationalen Sicherheit begrenzt (vgl. Erwägungsgrund 63). Auch hier wird man ein mögliches neues Verfahren vor dem EuGH abwarten müssen, ob die Feststellungen der Kommission ausreichend sind. Ihr Ergebnis hält die Kommission in Erwägungsgrund 75 fest.

C-362/14, Rz. 89:

Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält.

Diese Aussage des EuGH bezieht sich auf Maßnahmen staatlichen Ursprungs. Vollzugsbehörden wie die FTC haben in diesem Bereich nämlich keine Kompetenz.

Ihre Feststellungen zu den Rechtsschutzmöglichkeiten hält die Kommission in Erwägungsgrund 95 ff. fest. Auch hier ist meines Erachtens offen, ob die materiell-rechtlichen Gegebenheiten des US-Rechts ausreichend sind. Selbst die Kommission ging aber davon aus, dass allein das geltende US-Recht nicht ausreichend war. Daher wird die Stelle eines Ombudsmannes im Außenministerium eingerichtet (vgl. Erwägungsgrund 100). Dieser (zu Beginn soll wohl eine Unterstaatssekretärin diese Aufgabe übernehmen) ist zuständig für Beschwerden hinsichtlich des Erhebens von Daten durch Geheimdienste.

C-362/14, Rz. 90:

… fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Hier verwies der EuGH auf Feststellungen der Kommission aus dem Jahre 2013, in denen sie die Einhaltung von Safe Harbor untersuchte.

Die Kommission stellt nun fest, dass für den Zugriff und die Verwendung von gesammelten Daten enge Begrenzungen existieren (vgl. etwa in Erwägungsgrund 61). Hierdurch möchte man anscheinend den Vorgaben des EuGH Rechnung tragen, dass ein Zugriff und eine Verarbeitung auf übertragene Daten auf ein absolut notwendiges Mindestmaß beschränkt sein muss. In Erwägungsgrund 63 stellt die Kommission dann auch tatsächlich fest, dass die Vorgaben des US-Rechts im Kern Beschränkungen von Zugriffen auf das absolut notwendige und verhältnismäßige Maß vorsehen.

Hinsichtlich der Rechtsbehelfe und Rechte der Betroffenen stellt die Kommission in Erwägungsgrund 98 grundsätzlich fest, dass ein Recht auf Zugang zu Daten existiert. Aber nach Auffassung der Kommission ist dessen Durchsetzung in der Praxis wohl oft kaum möglich. Auch aus diesem Grund sei der Ombudsmann geschaffen worden, der sich um Anfragen von Betroffenen hinsichtlich des Datenumgangs durch Geheimdienste kümmern soll. Ihre Feststellungen zu den existierenden Rechtsbehelfen gegenüber einer unzulässigen Datenverarbeitung durch Geheimdienste trifft die Kommission allgemein in den Erwägungsgründen 95 ff.

C-362/14, Rz. 93:

Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen

Mit den vom EuGH geforderten „Beschränkungen“ des Zugangs zu übermittelten Daten im US-Recht befasst sich die Kommission in Erwägungsgrund 56 ff. Auch hier ist meines Erachtens zu beachten, dass der EuGH sich auf eine Speicherung von Daten bezieht, die bereits in die USA übermittelt wurden. Die also bei US-Unternehmen vorhanden sind. Den Ansatz der Kommission, sich auf die Frage des „Zugangs“ zu Daten und deren „Verwendung“ durch US-Behörden zu beschränken, finde ich daher nicht verkehrt. In Erwägungsgrund 63 stellt die Kommission fest, dass eine Verwendung von Daten auf eng begrenzte Zwecke der nationalen Sicherheit beschränkt ist. Auch hinsichtlich dieser Vorgabe für ein „angemessenes Schutzniveau“ wird man aber sicherlich auch Zweifel haben können bzw. genau prüfen müssen, ob tatsächlich ein „Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke“ beschränkt ist.

C-362/14, Rz. 94:

Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens

In Erwägungsgrund 62 stellt die Kommission gerade auch in Bezug auf eine Sammlung von Daten während deren Übermittlung durch transatlantische Kabel fest, dass nach den Zusagen der US-Behörden ein Zugriff auf diese Daten nur in eng begrenztem Umfang und unter Beachtung gewisser Schutzmaßnahmen stattfindet. Die Kommission geht nicht von einem generellen Zugriff auf den Inhalt, sondern von der Beachtung der Vorgaben einer Beschränkung auf das absolut Notwendige und die Beachtung des Grundsatzes der Verhältnismäßigkeit aus (vgl. Erwägungsgrund 63 und insgesamt die Feststellung hierzu in Erwägungsgrund 116).

C-362/14, Rz. 95:

Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.

Zu den Feststellungen der Kommission hinsichtlich der Rechtsbehelfe, hatte ich bereits oben auf entsprechende Erwägungsgrunde verwiesen (Erwägungsgründe 95 ff.). Zusätzlich wird im Außenministerium die Stelle des Ombudsmannes geschaffen. Ob diese Maßnahmen am Ende einer rechtlichen Prüfung standhalten und insbesondere die Rechte auf Zugang, Berichtigung und Löschung auch im Bereich der Datenverarbeitung durch US-Geheimdienste vollumfänglich vorhanden sind, kann man sicherlich bezweifeln. Eventuell muss man aber auch erst einmal die Aufnahme der Tätigkeit des Ombudsmannes abwarten.

Fazit

Insgesamt lässt sich meines Erachtens feststellen, dass die Kommission hier vor einer riesen Aufgabe stand. Mit Blick auf den privaten Sektor wurden tatsächlich viele Verbesserungen gegenüber Safe Harbor erreicht. Allein die Ausführlichkeit der Prinzipien ist beeindruckend. Es gilt aber freilich auch, diese in der Praxis um- und durchzusetzen. Auch dafür sind aber dem Grunde nach alle Voraussetzungen gegeben.

Was den Bereich der US-Behörden, insbesondere der Geheimdienste betrifft, darf wohl sicherlich hinter einige Feststellungen der Kommission ein Fragezeichen setzen. Auch wenn dieser Abschnitt insgesamt massiv aufgewertet wurde und in jedem Fall nun die vom EuGH vermissten „Feststellungen“ an sich getroffen wurden. Was den Inhalt der Feststellungen und die Herstellung eines „angemessenen Schutzniveaus“ anbelangt, so wird es dazu wohl bis zu einer neuen Entscheidung des EuGH verschiedene Meinungen geben.

2 comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *