Privacy Shield als Ablöse für Safe Harbor

Etwa zehn Monate ist es jetzt her, dass der EuGH das Safe-Harbor-Abkommen mit der USA gekippt hat. Nun hört man immer öfter von dem sogenannten Privacy Shield. Was das Privacy Shield ist, wo es herkommt, warum es existiert und was vorher möglich war, erfahren Sie hier. Direkt zur Vorlage des Formulars zur Auskunft der Daten in englischer Sprache, gelangen Sie hier.

Geltendes Recht vor dem Urteil

In der EU-Datenschutzrichtlinie von 1995 wurde festgelegt, dass die Übermittlung personenbezogener Daten in andere Länder nur dann erlaubt ist, wenn diese dort ausreichend geschützt sind.
Die Prüfung, ob dieses Schutzniveau erreicht wird, ist Aufgabe der EU-Kommission.

Im Jahre 2000 wurde die USA zu einem „sicheren Hafen“ erklärt, was bedeutet, dass der geforderte Schutz dort gewährleistet wurde.
Alle US-Unternehmen, die eine Datenübertragung nach dem Abkommen durchführen, müssen zwar einige Verpflichtungen gegenüber der US-Handelskommission abgeben, jedoch muss für diese Verpflichtungen kein Nachweis erfolgen, weswegen unklar ist, ob sich daran überhaupt jemand gehalten hat, da es nicht zum Aufgabenbereich der EU zählt, dies auch zu kontrollieren.

p

Verpflichtungen durch Safe-Harbor

Darunter fällt die Pflicht, Nutzer zu informieren, welche Daten sie zu welchem Zweck weitergeben, sie bei Weitergabe an Dritte zu informieren und ihnen das Recht einzuräumen, die gespeicherten Daten einzusehen und sie ergänzen oder löschen zu können.

Wieso kam es zu dem Urteil?

Ausschlaggebend für das Urteil vom 06.10.15 war die Klage des österreichischen Juristen Max Schrems.
Dieser klagte gegen den Umstand, dass (seine) persönlichen Daten in den USA auf den Servern von Facebook gespeichert werden, obwohl diese nur unzureichend vor den amerikanischen Geheimdiensten geschützt sind.
Da die Geheimdienste aufgrund des sog. „Patriot Acts“ aus dem Jahre 2001 nahezu uneingeschränkt Zugriff auf alle Server haben und dies mit der EU-Datenschutzrichtlinie von 1995 nicht vereinbar war, wurde die Datenübertragung von europäischen Nutzerdaten in die USA verboten.

 

WICHTIG:
Dies war kein Urteil gegen Facebook! Der USA wurde lediglich der Status als „Sicherer Hafen“ (nach der EU-Datenschutzrichtlinie) aberkannt. Bis dato hatte Facebook nicht illegal gehandelt.

Was hatte das Urteil zur Folge?

Mit der Verkündung des Urteils (USA ist kein „sicherer Hafen“) ist jeglicher Datentransfer, der durch das Safe-Harbor-Abkommen legitimiert wurde, binnen zwei Wochen zu unterbinden.
Dies hatte nicht bloß Auswirkungen auf große amerikanische Unternehmen, wie Facebook, Apple oder Google, sondern auf rund 4400 Unternehmen, die europäische Nutzerdaten in den USA speicherten.
All diese Unternehmen mussten daraufhin Ihre Datenübertragung in die USA einstellen, oder auf anderem Weg ein angemessenes Datenschutzniveau gewährleisten.

Die Umgehung erfolgte vor Allem durch drei Maßnahmen:

1.Notwendige Datenübermittlung zur Vertragserfüllung

Zur Vertragserfüllung

Das deutsche BDSG (Bundesdatenschutzgesetz) erlaubt eine Datenübertragung in die USA etwa dann, wenn diese „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ erforderlich ist.
Dabei ist zu unterscheiden, ob die Übertragung lediglich „hilfreich“ wäre, oder ob sie „zwingend erforderlich“ ist.

Was das bedeutet, lässt sich leicht durch ein Beispiel deutlich machen:
„Sie planen eine Reise in die USA und buchen dafür bei einem deutschen Reisebüro ein Hotel. Nun muss natürlich ein Zimmer auf Ihren Namen gebucht werden. Für den Hotelbetreiber wäre es unmöglich nachzuvollziehen, ob Sie nun wirklich die Person sind, die das Zimmer reserviert hat, wenn er keine Daten von Ihnen zum Abgleich gespeichert hätte, weswegen die Speicherung zwingend erforderlich ist, um den Vertrag zu erfüllen.“

2.EU-Standardvertragsklauseln

Standardvertrags-klauseln

Ein Unternehmen kann unabhängig vom Standort einen Vertrag unterzeichnen, in dem es erklärt sich den wesentlichen Regelungen der EU zum Datenschutz zu unterwerfen. Dafür wurden drei Standardverträge entwickelt, derer sich jedes Unternehmen bedienen kann, wobei es wichtig ist, dass diese „Vorlagen“ nicht abgeändert werden dürfen.

Ein eigens aufgesetzter Vertrag ist auch möglich, dieser muss allerdings die wesentlichen Bestimmungen des BDSG beinhalten UND von der deutschen Datenschutzbehörde genehmigt werden.

Die Standardvertragsklauseln stehen aber nach wie vor in der Kritik, da der festgestellte Zugriff der amerikanischen Geheimdienste auf die elektronische Kommunikation nicht mit europäischen Grundrechten vereinbar sei.

3.Schriftliche Einwilligung der Datenübertragung in die USA

Schriftliche Einwilligung

Aus §4c BDSG ergibt sich, dass eine Übertragung (auch in die USA) immer zulässig ist, wenn der Betroffene schriftlich eingewilligt hat mit dieser einverstanden zu sein.
Hierbei ist zu beachten, dass die Einwilligung „transparent, leicht verständlich, eindeutig und freiwillig“ sein muss und der Nutzer über die Risiken der Übermittlung aufgeklärt wird. Eine Änderung der Datenschutzbestimmungen genügt diesem Verfahren also nicht.

Wie geht es weiter?

Nachdem es einige Zeit ruhig war, wurde im Februar 2016 das sogenannte „EU-US Privacy Shield“ vorgestellt, welches die weitere Datenübermittlung zwischen der EU und den USA regeln soll.
Ob dieses Privacy Shield die EU-Anforderungen an den Datenschutz erfüllt, musste zu Beginn allerdings noch von europäischen Datenschützern geprüft werden.

Im Zuge dieser Prüfung haben sich bereits einige Datenschutzbeauftragten gegen das „Privacy Shield“ ausgesprochen, da es keine wirklichen Verbesserungen für den Schutz europäischer Nutzerdaten gegenüber dem alten Safe Harbor Abkommen gebe.
Doch trotz dieser Kritik verkündete die EU-Kommission Ende Juni 2016, dass die Verhandlungen innerhalb einer Woche abgeschlossen seien. Anfang Juli 2016 haben die EU-Mitglieder einstimmig (mit 4 Enthaltungen) dem „transatlantischen Datenschutzschild“ zugestimmt.

Ab dem 1. August 2016 können sich Unternehmen die Bescheinigung einholen, dass die Datenübertragung in die USA allen Anforderungen des Privacy Shields genügt. Diese Möglichkeit wurde von einigen Firmen, darunter etwa Microsoft, CA Technologies und Workday, bereits am ersten Geltungstag genutzt. Auch Google und IBM haben bereits ihr Interesse bekundet, die offizielle Liste beinhaltet inzwischen insgesamt 55 Einträge.

Ob sich diese Firmen an die vereinbarten Konventionen halten, bleibt nun abzuwarten; Wir haben eine Anfrage gestellt und müssen uns nun bis zu 45 Tage gedulden, um eine Antwort zu erhalten. Alle neuen Informationen werden natürlich hier eingefügt.

Falls Sie jedoch selbst bereits eine solche Anfrage stellen möchten, finden Sie unsere Vorlage weiter unten in diesem Artikel.

Grundlagen des neuen Privacy Shields

Das EU-US-Privacy-Shield beinhaltet einige Dokumente zur Regelung des zukünftigen Datenaustausches von Nutzerdaten zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Darunter befindet sich etwa ein Beschluss der EU-Kommission und rechtliche Regularien, aber auch Erklärungen diverser Vertreter US-Amerikanischer Behörden in Briefform. In diesen wird hauptsächlich zugesichert, dass der Datenzugriff durch Geheimdienste und Behörden eingeschränkt wird, eine Gesetzesänderung von Seiten der USA gibt es jedoch nicht.

Außerdem baut das Privacy-Shield auf dem Prinzip der Selbstverpflichtung auf. Das bedeutet, dass sich amerikanische Unternehmen in eine Liste eintragen müssen und sich damit selbst dazu verpflichten, die Regularien des Abkommens einzuhalten. Darunter fallen teils strenge Auflagen zur Speicherung der Daten von europäischen Nutzern auf Servern in der USA.

Inhalte des Privacy Shields

  1. Zuallererst ist der Zugriff der Sicherheitsbehörden eingeschränkt worden, eine anlasslose Massenüberwachung ihrerseits ist nach der neuen Regelung verboten. Zugriff bekommen entsprechende Institutionen „nur“ zur Terrorismusbekämpfung, zur Spionageabwehr, zur Verhinderung der Verbreitung von Massenvernichtungswaffen, zur Bekämpfung internationaler Kriminalität, zur Gefahrenabwehr, zur Dezimierung von Cyberkriminalität und in Fragen der nationalen Sicherheit.
  2. Darüber hinaus wird eine unabhängige Ombudsperson eingestellt, die sich um die Interessen der EU-Bürger kümmern soll. An diese Ombudsperson können Beschwerden und Nachfragen gerichtet werden, diese werden dann geprüft und bei Feststellen eines Verstoßes wird dieser an die zuständige Regierungsstelle gemeldet. Auch soll diese Person die Möglichkeit haben geheime Informationen der Geheimdienste anfragen zu können.
  3. Aber auch ohne Einschalten der Ombudsperson werden den Nutzern mehr Möglichkeiten eingeräumt, seine Rechte durchzusetzen, man kann Beschwerden und Auskunftsersuchen auch direkt an das Unternehmen richten, dieses hat dann 45 Tage Zeit eine Auskunft zu erteilen. Hier greift also das europäische Recht auf Auskunft und Löschung, lediglich der Zeitraum wurde vergrößert.
  4. Sollte es hierbei zu Streitigkeiten kommen, hat man das Recht auf kostenlose Schlichtungsverfahren, hierfür muss jedes Unternehmen eine unabhängige Schlichtungsstelle benennen. Zusätzlich wird eine Aufsichtsbehörde(FTC) eingeführt, die Firmen, sowie die Einhaltung der Verpflichtungen des Privacy-Shields überwacht und im Falle eines Verstoßes die betroffene Firma von der Liste der zertifizierten US-Unternehmen streichen lassen kann.
  5. Zuletzt gibt es eine jährliche Prüfung der Umsetzung gemeinsam von den USA und der EU, unter Einbeziehung der EU-Datenschutzbehörden und Geheimdienstexperten zur Klärung der Frage, ob das Schutzniveau der Daten in den USA noch angemessen sei.

Kritik am Privacy Shield

„Das Privacy Shield ist bloß ein weiterer Versuch das „Safe-Harbor“-System wieder­zubeleben, die grund­sätzlichen Probleme der US-Massen­über­wachung und der Nonexistenz von US-Daten­schutz sind aber nicht gelöst.“

Max Schrems

Kläger gegen Safe Harbor

„Die Kommission gehe ein großes Risiko ein, dass auch der neue Rahmen für die Daten­über­mitt­lung in die USA die Prüfung durch den Europäischen Gerichts­hof nicht übersteht.“

Peter Schaar

ehem. Bundesbeauftragte für Datenschutz und Informationsfreiheit

„Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind alles andere als gelöst. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, hat sich die EU-Kommission eine Mogelpackung andrehen lassen. Der Bereich der nationalen Sicherheit ist von den Regelungen ausgenommen.“

Alexander Sander

Geschäftsführer Verein Digitale Gesellschaft

„Die neue Regelung ist ein Blankocheck ohne angemessene Gegenleistung von Seiten der USA.“

Jan Philipp Albrecht

Europaabgeordneter

Vorlage: Formular

Datum

Eigener Name
Straße Hausnummer
PLZ Ort
E-Mail

Firma
Adresse

Disclosure of saved data on your US based servers

Dear ladies and gentlemen,

? in compliance with the new „EU-US-Privacy-Shield“ I request you to furnish the following particulars/provide the following details:

  • Information on the types of personal data collected
  • Information on the purposes of collection and use
  • Information on the type or identity of third parties to which my personal data is disclosed

This demand is to be fulfilled until

< Datum: 45 Tage in der Zukunft >.

Should you ignore this letter, I will inform the concerned ombudsman. Furthermore I preserve the right to take legal measures.

Sincerely