Mangelnder Datenschutz durch EU „Privacy Shield“
cep kritisiert in Studie die „Safe Harbour“-Nachfolgeregelung der EU Kommission
Nach wie vor sind personenbezogene Daten von EU-Bürgern unzureichend vor dem Zugriff amerikanischer Behörden geschützt. Zu diesem Ergebnis kommt die jüngste Studie des cep. Denn massenhafte Datenerhebungen und -nutzungen durch US-Behörden bleiben auch unter dem „Privacy Shield“ in gewissem Umfang möglich, obwohl der Europäische Gerichtshof (EuGH) genau dies bemängelt hatte, als er im vergangenen Jahr die „Safe Harbour“-Entscheidung der EU-Kommission für ungültig erklärt hatte.
„Die vorgesehenen Einschränkungen für US-Sicherheitsbehörden entsprechen nicht den Vorgaben des EuGH“, erklären Dr. Anja Hoffmann und Prof. Lüder Gerken von cep. „Anders als von der EU-Kommission behauptet trägt deren ‚Privacy Shield‘-Beschluss dem EU-Datenschutz eben nicht in allen Punkten Rechnung“, so Hoffmann, die Autorin der Studie, die bereits die Tragweite und Bindungswirkung der von US-amerikanischer Seite gemachten Zusagen in den Anlagen zum Beschluss für fraglich erachtet. Ebenfalls unzureichend ist für Hoffmann der vorgesehene Rechtsschutz. „Insbesondere erfüllt der sogenannte Ombudsperson-Rechtsbehelf nicht die Anforderungen des EuGH an einen ‚gerichtlichen Rechtsschutz‘. Die ‚Ombudsperson‘ ist nicht vollkommen unabhängig, hat möglicherweise unzureichende Befugnisse und fällt intransparente Entscheidungen“, so Hoffmann.
Um wettbewerbsrechtliche Nachteile für EU-Unternehmen zu vermeiden, muss aus Sicht des cep ferner sichergestellt sein, dass die teilnehmenden US-Unternehmen die „Privacy Principles“, denen sie sich durch Selbstzertifizierung unterwerfen sollen, auch tatsächlich einhalten. Daher sollten Kontrollen nicht im Wesentlichen auf Rüge hin, sondern anlasslos, regelmäßig, unangekündigt und flächendeckend erfolgen. Auch sollte die Zertifizierung nicht durch kaum kontrollierbare Selbstunterwerfung, sondern besser durch unabhängige akkreditierte Stellen vorgenommen werden. Weiterhin sollten die „Privacy Principles“ bereits jetzt an der voraussichtlich ab 2018 geltenden EU-Datenschutzgrundverordnung ausgerichtet werden, um Anpassungsbedarf und Nachverhandlungen mit den USA zu vermeiden. Geboten wären auch ein völkerrechtliches Abkommen sowie eine bindende Umsetzung in den USA mit Gesetzescharakter.
Die Europäische Kommission will auf die US-amerikanischen Zusicherungen vertrauen und den „Privacy Shield“-Beschluss bei Fehlverhalten aussetzen. “Dies ist blauäugig und wird weder dem Interesse der europäischen Wirtschaft an einer langfristigen rechtssicheren Grundlage für den transatlantischen Datentransfers noch dem der EU-Bürger an einem dauerhaften angemessenen Datenschutz gerecht“, so Prof. Lüder Gerken, Vorstandsvorsitzender des cep, der fordert, dass die EU zunächst konsequent auf weitere spürbare Änderungen im US-Recht hinwirken müsse und erst auf Basis der geänderten Rechtslage einen Angemessenheitsbeschluss erlassen solle.
Hintergrund:
Bis zum 6. Oktober 2015 war die „Safe Harbour“-Entscheidung der Europäischen Kommission Rechtsgrundlage für transatlantische Datentransfers. Nachdem der Europäische Gerichtshof (EuGH) diese für ungültig erklärt hat, ist die Rechtslage unsicher. Auch alternative Rechtsgrundlagen wie Standarddatenschutzklauseln oder verbindliche unternehmensinterne Datenschutzregelungen versprechen derzeit keine dauerhafte rechtssichere Abhilfe.
Die cepStudie lesen Sie hier: cepStudie_Datentransfer_in_die_USA