Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52016XX0715(01)

Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu „EU-US-Datenschutzschild Entwurf einer Angemessenheitsentscheidung“

OJ C 257, 15.7.2016, p. 8–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

15.7.2016   

DE

Amtsblatt der Europäischen Union

C 257/8


Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu „EU-US-Datenschutzschild Entwurf einer Angemessenheitsentscheidung“

(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.eu erhältlich.)

(2016/C 257/05)

Datenströme fließen weltweit. Die EU ist gebunden durch die Verträge und die Charta der Grundrechte der Europäischen Union, die alle natürlichen Personen in der EU schützen. Die EU ist verpflichtet, mit allen erforderlichen Maßnahmen zu gewährleisten, dass die Rechte auf Privatsphäre und auf den Schutz personenbezogener Daten bei allen Verarbeitungsvorgängen einschließlich Übermittlungen gewahrt werden.

Seit den 2013 erfolgten Enthüllungen über Überwachungsaktivitäten haben sich die EU und ihr strategischer Partner, die USA, um die Definition neuer, auf einem System von Selbstzertifizierung beruhender Standards für die Übermittlung personenbezogener Daten aus der EU in die USA zu kommerziellen Zwecken bemüht. Wie die nationalen Datenschutzbehörden in der EU erkennt auch der EDSB den Wert eines nachhaltigen Rechtsrahmens für kommerzielle Datenübermittlungen zwischen der EU und den USA, den beiden jeweils größten Handelspartnern weltweit, in einer Zeit globaler, momentaner und unvorhersehbarer Datenströme. Dieser Rahmen muss jedoch umfassender Ausdruck der gemeinsamen demokratischen und auf den Rechten des Einzelnen beruhenden Werte sein, die auf EU-Seite im Vertrag von Lissabon und der Charta der Grundrechte und auf US-amerikanischer Seite in der Verfassung der Vereinigten Staaten verankert sind.

Der Entwurf des Datenschutzschilds mag ein Schritt in die richtige Richtung sein, doch bietet er mit seinem jetzigen Wortlaut unserer Auffassung nach nicht in angemessener Form alle Garantien für den Schutz der EU-Rechte natürlicher Personen in Bezug auf Privatsphäre und Datenschutz, einschließlich gerichtlicher Rechtsbehelfe. Es sind noch erhebliche Verbesserungen erforderlich, sollte die Europäische Kommission eine Angemessenheitsentscheidung annehmen wollen. So sollte die EU insbesondere weitere Zusicherungen bezüglich Notwendigkeit und Verhältnismäßigkeit einholen, anstatt einen routinemäßigen Zugang von US-Behörden auf übermittelte Daten auf der Grundlage von Kriterien zu legitimieren, die eine Rechtsgrundlage im Empfängerland haben und nicht in der EU, wie dies in den Verträgen, EU-Gerichtsurteilen und den Mitgliedstaaten gemeinsamen verfassungsrechtlichen Traditionen bekräftigt ist.

Darüber hinaus können in einem Zeitalter von hoher „Hyperconnectivity“ und verteilten Netzwerken die Selbstregulierung durch private Organisationen sowie Vertretung und Zusagen durch Amtsträger kurzfristig eine Rolle spielen, während sie langfristig nicht ausreichen würden, die Rechte und Interessen natürlicher Personen zu wahren und in vollem Umfang den Bedürfnissen einer globalisierten digitalen Welt gerecht zu werden, in der sich nunmehr viele Länder Datenschutzrechtsvorschriften festgelegt haben.

Daher wäre eine längerfristige Lösung im transatlantischen Dialog zu begrüßen, auch um in verbindlichem Bundesrecht zu verfügen, dass zumindest die Hauptgrundsätze der Rechte klar und prägnant benannt werden, wie es auch bei anderen Drittländern ist, die in der Frage, ob sie ein angemessenes Schutzniveau bieten, „streng beurteilt“ wurden; was der EuGH in seinem Urteil in der Rechtssache Schrems als den nach EU-Recht geltenden Standards „der Sache nach gleichwertig“ bezeichnet hat, und was nach Ansicht der Artikel 29-Datenschutzgruppe bedeutet, „das Wesen der Grundprinzipien“ des Datenschutzes enthaltend.

Wir nehmen wohlwollend die von den US-Behörden an den Tag gelegte stärkere Transparenz bei der Nutzung der Ausnahme von den Datenschutzschildgrundsätzen in den Bereichen Strafverfolgung, nationale Sicherheit und öffentliches Interesse zur Kenntnis.

In der Safe Harbour-Entscheidung aus dem Jahr 2000 wurde ein Zugriff aus Gründen der nationalen Sicherheit als Ausnahme behandelt, wohingegen die Aufmerksamkeit, die im Entscheidungsentwurf zum Datenschutzschild dem Zugriff, dem Filtern und der Auswertung von für kommerzielle Zwecke übermittelten personenbezogenen Daten durch Strafverfolgungsbehörden und Geheimdienste gewidmet wird, darauf hindeutet, dass die Ausnahme zur Regel geworden ist. Der EDSB entnimmt dem Entwurf der Entscheidung und ihrer Anhänge insbesondere, dass ungeachtet neuerer Tendenzen von der undifferenzierten Überwachung auf allgemeiner Grundlage hin zu gezielteren und ausgewählten Ansätzen der Umfang der Fernmeldeaufklärung und das Volumen von aus der EU übermittelten Daten, die nach der Übermittlung und insbesondere im Transit möglicherweise gesammelt und verwendet werden, nach wie vor sehr groß und damit zu hinterfragen sind.

Auch wenn diese Praktiken darüber hinaus mit Aufklärung in anderen Ländern zu tun haben mag, und auch wenn wir die Transparenz der US-Behörden bezüglich dieser neuen Realität begrüßen, könnte der derzeitige Entscheidungsentwurf diese Vorgehensweise legitimieren. Daher fordern wir die Europäische Kommission auf, ein starkes Signal auszusenden: Mit Blick auf die Verpflichtungen, die sich für die EU aus dem Vertrag von Lissabon ergeben, sollten Zugriff und Nutzung von für kommerzielle Zwecke übermittelten Daten durch Behörden, selbst wenn die Daten nur im Transit sind, nur unter außergewöhnlichen Umständen und nur dann erfolgen, wenn es für genau spezifizierte Zwecke im öffentlichen Interesse unerlässlich ist.

Bezüglich der Bestimmungen über Übermittlungen zu kommerziellen Zwecken sollte von für die Verarbeitung Verantwortlichen nicht erwartet werden, dass sie ständig die Compliance-Modelle wechseln. Überdies wurde der Entscheidungsentwurf auf der Grundlage des bestehenden EU-Rechtsrahmens formuliert, der aber im Mai 2018 von der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) abgelöst wird, also weniger als ein Jahr nach der vollständigen Umsetzung des Datenschutzschildes durch die für die Verarbeitung Verantwortlichen. Die Datenschutz-Grundverordnung schafft neue und verschärft bestehende Pflichten für Verantwortliche, die über die neun im Datenschutzschild entwickelten Grundsätze hinausgehen. Unabhängig von letzten Änderungen am Entwurf empfehlen wir der Europäischen Kommission, die künftigen Aussichten seit ihrem ersten Bericht umfassend zu bewerten, rechtzeitig gegebenenfalls relevante Schritte im Hinblick auf längerfristige Lösungen als Ersatz für den Datenschutzschild zu ermitteln, mit solideren und stabileren Rechtsrahmen, damit die transatlantischen Beziehungen einen neuen Schub erhalten.

Daher gibt der EDSB spezifische Empfehlungen zum Datenschutzschild ab.

I.   Einleitung

Am 6. Oktober 2015 erklärte der Gerichtshof der Europäischen Union (nachstehend „EuGH“) (1) die Entscheidung über die Angemessenheit des Sicheren Hafens (2) für ungültig. Am 2. Februar 2016 erzielte die Europäische Kommission mit den USA eine politische Einigung über einen neuen Rahmen für Übermittlungen personenbezogener Daten, der die Bezeichnung „EU-US-Datenschutzschild“ (nachstehend „Datenschutzschild“) trägt. Am 29. Februar stellte die Europäische Kommission der Öffentlichkeit den Entwurf einer Entscheidung über die Angemessenheit dieses neuen Rahmens (nachstehend „Entscheidungsentwurf“) (3) nebst sieben Anhängen vor, einschließlich der Grundsätze des Datenschutzschildes und schriftlicher Erklärungen und Zusagen von Seiten US-amerikanischer Amtsträger und Behörden. Dem EDSB ging der Entscheidungsentwurf zur Konsultation am 18. März dieses Jahres zu.

Der EDSB hat wiederholt seine Auffassung zu Übermittlungen personenbezogener Daten zwischen der EU und den USA dargelegt (4) und hat sich auch an den Arbeiten an der Stellungnahme der Artikel 29-Datenschutzgruppe (nachstehend: „WP29“) zu dem Entscheidungsentwurf als Mitglied dieser Arbeitsgruppe beteiligt (5). Die WP29 hat schwerwiegende Bedenken geäußert und die Europäische Kommission ersucht, Lösungen zu finden, mit denen sich diese Bedenken ausräumen lassen. Die Mitglieder der WP29 gehen davon aus, dass alle in der Stellungnahme verlangten Klarstellungen erfolgen werden (6). Am 16. März legten 27 gemeinnützige Organisationen in einem Schreiben an EU- und US-Behörden ihre Kritik an dem Entscheidungsentwurf dar (7). Am 26. Mai nahm das Europäische Parlament eine Entschließung zur transatlantischen Datenübermittlung (8) an, in der die Kommission aufgefordert wird, den Dialog mit den USA weiterzuführen, um auf weitere Verbesserungen bei der Datenschutzschild-Regelung angesichts ihrer derzeitigen Mängel zu drängen (9).

Als unabhängiger Berater des EU-Gesetzgebers gemäß der Verordnung (EG) Nr. 45/2001 legt der EDSB nun Empfehlungen an die an dem Verfahren Beteiligten vor, die sich insbesondere an die Kommission wenden. Diese Empfehlungen sollen sowohl prinzipientreu als auch pragmatisch sein, denn sie sollen proaktiv der EU dabei helfen, ihre Ziele mit angemessenen Maßnahmen zu erreichen. Er ergänzt und unterstreicht einige, wenn auch nicht alle Empfehlungen in der Stellungnahme der WP29.

Im Vergleich zur Safe Harbour-Entscheidung weist der Entscheidungsentwurf eine Reihe von Verbesserungen auf, vor allem im Hinblick auf die Grundsätze für die Verarbeitung von Daten für kommerzielle Zwecke. Bezüglich des Zugangs zu den unter dem Datenschutzschild übermittelten Daten für Behörden begrüßen wir, dass zum ersten Mal das Justizministerium, das Außenministerium und das Büro des Direktors der National Intelligence in die Verhandlungen eingebunden waren. Fortschritte im Vergleich zu der älteren Safe Harbour-Entscheidung allein reichen jedoch nicht aus. Korrekter Orientierungspunkt ist nicht eine zuvor für ungültig erklärte Entscheidung, da sich die Angemessenheitsentscheidung auf den derzeitigen EU-Rechtsrahmen stützen muss (insbesondere auf die Richtlinie, Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union sowie Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union, ausgelegt durch den EuGH). Artikel 45 der Datenschutz-Grundverordnung der EU (10) enthält neue Anforderungen an Datenübermittlungen auf der Grundlage einer Angemessenheitsentscheidung.

Im vergangenen Jahr bekräftigte der EuGH, die Schwelle für die Angemessenheitsbeurteilung sei der Begriff „der Sache nach gleichwertig“, und forderte eine strenge Beurteilung anhand dieses strengen Maßstabs (11). Angemessenheit verlangt nicht einen Rahmen, der mit dem der EU identisch ist, doch sollten insgesamt betrachtet der Datenschutzschild und die Rechtsordnung der USA alle Kernelemente des EU-Datenschutzrahmens enthalten. Dies erfordert sowohl eine Gesamtbeurteilung der Rechtsordnung als auch eine Prüfung der wichtigsten Elemente des EU-Datenschutzrahmens (12). Wir gehen davon aus, dass die Beurteilung insgesamt durch Wahrung des Wesens dieser Elemente geschehen sollte. Darüber hinaus müssen aufgrund des Vertrags und der Charta spezifische Elemente wie unabhängige Kontrolle und Beschwerde untersucht werden.

Diesbezüglich ist sich der EDSB der Tatsache bewusst, dass viele Organisationen auf beiden Seiten des Atlantiks auf das Ergebnis der Verhandlungen über diese Angemessenheitsentscheidung warten. Sollte der EuGH jedoch auch die neue Entscheidung für ungültig erklären, brächte dies erhebliche Rechtsunsicherheit für betroffene Personen und hohen Aufwand vor allem für KMU mit sich. Und würde der Entscheidungsentwurf angenommen und dann vom EuGH für ungültig erklärt werden, müsste eine neue Angemessenheitsregelung ausgehandelt werden, dieses Mal nach der Datenschutz-Grundverordnung. Wir empfehlen daher mit Blick auf das bevorstehende Datum der vollständigen Anwendung der Datenschutz-Grundverordnung in zwei Jahren einen zukunftsorientierten Ansatz.

Der Entscheidungsentwurf spielt eine Schlüsselrolle in den Beziehungen zwischen der EU und den USA, zumal gerade zwischen ihnen auch Handels- und Investitionsverhandlungen stattfinden. Außerdem sind viele der in unserer Stellungnahme behandelten Aspekte sowohl für den Datenschutzschild als auch für andere für Übermittlungen wichtige Instrumente relevant, wie die verbindlichen unternehmensinternen Datenschutzregelungen (Binding Corporate Rules, nachstehend: „BCR“) und Standardvertragsklauseln (Standard Contractual Clauses, nachstehend: „SCC“). Der Entscheidungsentwurf ist aber auch weltweit von Bedeutung, da sich viele Drittländer vor dem Hintergrund der Annahme des neuen EU-Datenschutzrahmens an ihn anlehnen werden.

Daher würden wir eine allgemeine Lösung für Übermittlungen aus der EU in die USA begrüßen, die jedoch ausreichend umfassend und solide sein sollte. Hierzu müssen eindeutige Verbesserungen vorgenommen werden, damit langfristig die Achtung unserer Grundrechte und Grundfreiheiten gewährleistet ist. Nach der Annahme sollte die Entscheidung nach einer ersten Beurteilung durch die Europäische Kommission rechtzeitig überprüft werden, um gegebenenfalls relevante Schritte in Richtung längerfristiger Lösungen als Ersatz für den Datenschutzschild zu überlegen, mit solideren und stabileren Rechtsrahmen, damit die transatlantischen Beziehungen einen neuen Schub erhalten.

Der EDSB entnimmt dem Entwurf der Entscheidung und ihrer Anhänge ferner, dass ungeachtet neuerer Tendenzen von der undifferenzierten Überwachung auf allgemeiner Grundlage hin zu gezielteren und ausgewählten Ansätzen der Umfang der Fernmeldeaufklärung und das Volumen von aus der EU übermittelten Daten, die nach der Übermittlung und insbesondere im Transit möglicherweise gesammelt und verwendet werden, nach wie vor sehr groß und damit zu hinterfragen sind.

Auch wenn diese Praktiken darüber hinaus mit Aufklärung in anderen Ländern zu tun haben mag, und auch wenn wir die Transparenz der US-Behörden bezüglich dieser neuen Realität begrüßen, könnte der derzeitige Entscheidungsentwurf als Legitimation dieser Vorgehensweise ausgelegt werden. Die Frage bedarf einer sorgfältigen demokratischen Prüfung durch die Öffentlichkeit. Daher fordern wir die Europäische Kommission auf, ein starkes Signal auszusenden: Mit Blick auf die Verpflichtungen, die sich für die EU aus dem Vertrag von Lissabon ergeben, sollten Zugriff und Nutzung von für kommerzielle Zwecke übermittelten Daten durch Behörden, selbst wenn die Daten nur im Transit sind, nur unter außergewöhnlichen Umständen und nur dann erfolgen, wenn es für genau spezifizierte Zwecke im öffentlichen Interesse unerlässlich ist.

Des Weiteren halten wir fest, dass wichtige, für das Privatleben natürlicher Personen in der EU relevante Zusicherungen offensichtlich mit einem gewissen Detailgrad nur in internen Schreiben von US-Behörden gemacht werden (beispielsweise Erklärungen zu Aktivitäten der Fernmeldeaufklärung über Transatlantikkabel, wenn überhaupt) (13). Auch wenn wir die Kompetenz der ehrenwerten Verfasser dieser Schreiben nicht in Frage stellen wollen, und auch wenn wir einsehen, dass diese Erklärungen nach einer Veröffentlichung im Amtsblatt und im Federal Register als „schriftliche Zusicherungen“ betrachtet werden, auf deren Grundlage die Beurteilung durch die EU erfolgt, stellen wir doch ganz allgemein fest, dass einigen dieser Erklärungen aufgrund ihrer Bedeutung ein größere Rechtswirkung zukommen müsste.

Neben Gesetzesänderungen und internationalen Abkommen (14) könnten noch weitere praxisnahe Lösungen in Erwägung gezogen werden. Mit unserer Stellungnahme möchten wir diesbezüglich pragmatische Hilfestellung leisten.

IV.   Schlussfolgerung

Der EDSB begrüßt die Bemühungen der Parteien um eine Lösung für Übermittlungen personenbezogener Daten aus der EU in die USA für kommerzielle Zwecke in einem System der Selbstzertifizierung. Es sind allerdings noch deutliche Verbesserungen erforderlich, um einen soliden, langfristig stabilen Rahmen zu erreichen.

Geschehen zu Brüssel am 30. Mai 2016

Giovanni BUTTARELLI

Europäischer Datenschutzbeauftragter


(1)  Rechtssache C-362/14, Maximilian Schrems gegen Data Protection Commissioner, 6. Oktober 2015 (nachstehend: „Schrems“).

(2)  Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (bekannt gegeben unter Aktenzeichen K(2000) 2441), (ABl. L 215 vom 25.8.2000, S. 7).

(3)  Durchführungsbeschluss der Kommission vom XXX gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gewährten Schutzes, abrufbar unter: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.

(4)  Siehe die Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission an das Europäische Parlament und den Rat „Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA“ und zur Mitteilung der Kommission an das Europäische Parlament und den Rat „Über die Funktionsweise der Safe-Harbour-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen“, 20. Februar 2014, und den Vortrag des EDSB in der Verhandlung vor dem EuGH in der Rechtssache Schrems, abrufbar unter: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf).

(5)  Artikel 29-Datenschutzgruppe in der Stellungnahme 1/2016 zu der Entscheidung über die Angemessenheit des EU-US-Datenschutzschilds (WP 238), abrufbar unter: http://ec.europa.eu/jus.tice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.

(6)  Siehe ferner das Grundsatzreferat des UK Information Commissioner Christopher Graham auf der IAPP Europe Data Protection Intensive 2016 Conference in London. Rede abrufbar (Video) unter: https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/.

(7)  Schreiben an die Artikel 29-Datenschutzgruppe und andere Einrichtungen, unterzeichnet von Access Now und 26 weiteren NRO.

(8)  Entschließung des Europäischen Parlaments vom 26. Mai 2016 zur transatlantischen Datenübermittlung (2016/2727(RSP)).

(9)  Ebenda, Rn. 14.

(10)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(11)  Schrems, Rn. 71, 73, 74 und 96.

(12)  Dieser Ansatz war schon Gegenstand einer der ersten Arbeitsunterlagen der WP29 zum Thema Datenübermittlungen (WP 12: Arbeitsunterlage „Übermittlungen personenbezogener Daten in Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU“, 24. Juli 1998).

(13)  Siehe z. B. Klarstellungen in Anhang VI.1. a) dahingehend, dass PPD28 für Daten gelten würde, die von Transatlantikkabeln durch die U.S. Intelligence Community erhoben würden.

(14)  In der Verhandlung vor dem EuGH in der Rechtssache Schrems führte der EDSB Folgendes aus: „Einzige wirksame Lösung ist die Aushandlung eines internationalen Abkommens, das angemessenen Schutz gegen undifferenzierte Überwachung und Verpflichtungen in den Bereichen Aufsicht, Transparenz, Beschwerde und Datenschutzrechte bietet“, Vortrag des EDSB in der Verhandlung vor dem Gerichtshof vom 24. März 2015 in der Rechtssache C-362/14 (Schrems gegen Data Protection Commissioner).


Top