EU/USA: Altes Regelwerk mit neuem Namen

NETHERLANDS-POLITICS-DIPLOMACY-INTERIOR-JUSTICE
NETHERLANDS-POLITICS-DIPLOMACY-INTERIOR-JUSTICEAPA/AFP/ANP/KOEN VAN WEEL
  • Drucken

Nach der Einigung der EU mit den USA bleiben Zweifel, ob der Zugriff von US-Behörden auf Daten genug beschränkt wurde und EU-Bürger sich wirksam beschweren können.

Wien. Die EU-Kommission konnte sich vorige Woche mit den USA auf ein „Safe Harbor II“-Abkommen einigen. Auch wenn der finale Text noch nicht vorliegt, ist doch schon klar, dass es sich um ein im Vergleich zu seinem Vorgänger zwar in manchen Punkten verbessertes, aber doch in seiner Konzeption altes Regelwerk mit neuem Namen handeln wird.

Es soll höhere Anforderungen an die Verwendung personenbezogener Daten von EU-Bürgern durch US-Unternehmen vorsehen und diese dabei auch stärker kontrollieren. Zudem werde es für den Zugriff auf die Daten durch US-Behörden Auflagen und Beschränkungen geben, deren Einhaltung auch unter Einbeziehung der EU-Datenschutzbehörden überwacht werden soll. Letztlich sollen den EU-Bürgern auch verbesserte Beschwerdemöglichkeiten zugestanden werden: So würde etwa das US-Handelsministerium in Beschwerdeverfahren vor EU-Datenschutzbehörden mitwirken; US-Unternehmen würden bei der Beantwortung von Beschwerden an Fristen gebunden sein. Schließlich ist auch die Installation eines Ombudsmannes vorgesehen, der als Anlaufstelle bei unberechtigtem Zugriff von US-Behörden auf Daten fungieren soll.

Zweifel sind aber durchaus angebracht, ob alle Anforderungen erfüllt werden, die das Urteil des EuGH „Schrems vs Facebook“ vom 6. Oktober 2015, mit dem das nun zu ersetzende „Safe Harbor“-Abkommen für ungültig erklärt wurde, an ein solches Regelwerk stellt: Insbesondere wird sich zeigen, ob tatsächlich das Zugriffsrecht von US-Behörden auf die Daten ausreichend beschränkt wurde und EU-Bürgern das vom EuGH geforderte, gerichtlich durchsetzbare Recht auf Zugang zu den Daten und eine wirksame Beschwerdemöglichkeit gegen unrechtmäßige (Massen-)Überwachung durch Behörden gewährt wird.

Sofern Datenschützer ihre deklarierte Absicht wahr machen und auch das neue Regelwerk vor den EuGH bringen werden (wovon auszugehen ist), wird auch insbesondere die Wirksamkeit der sehr fragwürdigen Einsetzung eines Ombudsmannes für die Beschwerde gegen Aktivitäten der mächtigen US-Geheimdienste und ihrer Kontrolle durch Erstellung jährlicher Berichte auf dem Prüfstand stehen.

Rechtssicherheit fehlt noch

Mit Inkrafttreten des neuen Regelwerks, womit erst in einigen Wochen, wenn nicht Monaten zu rechnen ist, kommt es zu Erleichterungen für den Transfer personenbezogener Daten zu jenen US-Unternehmen, die sich den Regelungen des neuen Privacy Shields unterwerfen. In Österreich entfiele etwa das Erfordernis, vorab die Genehmigung der Datenschutzbehörde zum Datentransfer einzuholen. Da weder der Text des Regelwerks noch jener der sogenannten Angemessenheitsentscheidung der EU-Kommission vorliegt, kann noch nicht abschließend beurteilt werden, ob tatsächlich – wie es die EU-Kommission behauptet – Unternehmen Sicherheit für den transatlantischen Datentransfer bekommen werden oder es nicht infolge der bereits bestehenden Zweifel an seiner Vereinbarkeit mit EU-Recht sogar zur Rechtsunsicherheit beiträgt.

Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA schicken oder US-Unternehmen Zugriffs- oder Einsichtsrechte auf diese Daten gewähren, sind daher gut beraten, den Datentransfer auf andere, sicherere Rechtsgrundlagen zu stellen als das geplante Privacy Shield. Dazu zählen etwa der Abschluss von ebenfalls auf einer – wie auch die Vertreter der europäischen Datenschutzbehörden vergangene Woche nochmals betont haben – weiterhin gültigen Entscheidung der EU-Kommission beruhenden, sogenannten Standardvertragsklauseln mit den jeweiligen US-Datenimporteuren. Die unterzeichneten Klauseln sind in Österreich der Datenschutzbehörde vorzulegen, um die Genehmigung für den Datentransfer zu erhalten. Den Weg zur Behörde ersparen sich aber jene Unternehmen, die die Zustimmung der Betroffenen zur Übermittlung der Daten in die USA oder in andere „unsichere Drittländer“ eingeholt haben. Ein Haken bei der Zustimmungserklärung ist jedoch, dass sie jederzeit widerrufbar ist und ein Widerruf jeder weiteren Verwendung der Daten in den USA entgegensteht; die Daten müssten dann nach Europa zurückgeführt oder in den USA gelöscht werden.

Daneben kommt auch der Transfer von indirekt personenbezogenen Daten oder gar anonymisierten Daten infrage, wenn ein Personenbezug für den Empfänger der Daten nicht erforderlich ist.

("Die Presse", Print-Ausgabe, 08.02.2016)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.