Am 18. Oktober 2017 erklärte die EU-Kommission in einer Pressemitteilung, das Weiterbestehen des EU-US Privacy Shield, welches immer wieder im Fokus der Kritik stand.
Derzeitiger Stand bezüglich des Privacy Shield
Das EU-US Privacy Shield, welches als Nachfolger des Safe Harbor – Abkommens gilt, ist ein von der EU-Kommission vorgenommener einseitiger Rechtsakt, der auf eine doppelte Selbstverpflichtung abzielt, die von Beteiligten auf US-Seite (US-Unternehmen) wahrgenommen wird. Diese verpflichten sich an die – im Privacy Shield festgesetzten – Regelungen zu halten, was einen einheitlichen Datenschutzstandard bei der Übertragung von personenbezogenen Daten zwischen beiden Ländern sicherstellen soll.
Nach der ersten jährlichen Prüfung des Datenschutzsystems erklärte der Vize Präsident der EU-Kommission, Andrus Ansip, das Privacy Shield-Abkommen mit den USA führe zu einem einfachen und sicheren Datentransfer zwischen beiden Ländern. Die EU-Kommission stehe vollkommen hinter diesem Abkommen. Die Kommissionsvorsitzende für Justiz, Verbraucherschutz und Gleichstellung, Věra Jourová, relativierte diese Aussage ein wenig. Nach ihrer Auffassung erfüllt das Privacy Shield, nach Angaben der ersten jährlichen Prüfung, seinen Zweck, jedoch gebe es Raum für Verbesserungen.
Privacy Shield von Anfang an in der Kritik
Seit der Einführung des Privacy Shield-Abkommens, als Nachfolger des Safe Harbor-Abkommens, welches aufgrund der geheimdienstlichen Datenübermittlung in den USA für rechtswidrig erklärt wurde, hagelte es bereits von vielen Seiten heftigste Kritik. Grund für die Kritik, welche insbesondere durch zahlreiche Datenschützer, aber auch Zivilisten und EU-Parlamentarier vorgebracht wurde, ist das die Zusagen der US-Regierung nicht weit genug gehen und sich dadurch nichts an der dortigen Gesetzeslage geändert hätte. So sei es beispielsweise den US-Behörden immer noch möglich auf personenbezogene Daten, die aus Europa stammen, zuzugreifen.
Datenschützer in Europa und den USA fordern eine Absetzung des Abkommens
Die Kritik ebbt auch ein Jahr nach der Ablösung des Safe Harbor-Abkommen durch den Privacy Shield nicht ab. Grund der anhaltenden Kritik sind die bis dato noch nicht umgesetzten Versprechen der US-Regierung eine Ombudsmann einzusetzen, welcher für die Datenschutzanliegen europäischer Bürger zuständig sein sollte. Weiterhin hatte der derzeit amtierende US-Präsident, Donald Trump, in seinen ersten Amtshandlungen, eine Anordnung (Executive Order) zur Verbesserung der öffentlichen Sicherheit unterzeichnet, in der Datenschutzgarantien gegenüber Nicht-US-Bürgern (Ausländern) ausgehebelt werden.
Hierzu erklärte die – in den USA ansässige – Digital Rights Organisation Access Now, die EU-Kommission solle ihre Entscheidung, über die Angemessenheit des Datenschutzniveaus der US mit dem europäischen Standard, zurücknehmen.
Immer noch keine Prüfung durch die europäische Datenschutzbehörde
Die vor einem Jahr angekündigte Prüfung des Privacy Shield durch die Europäische Datenschutzbehörde (Article 29 Data Protection Working Party) erfolgte bisher noch nicht. Diese hatte zuvor weitreichende Kritik bezüglich der Verabredung des Privacy Shields geäußert, wurde jedoch bei der letzten Verhandlung des Textes nicht mehr einbezogen.
Kritiker, welche sich einen stärkeren Einsatz der Behörde bezüglich des Schutzes der Grundrechte der EU-Bürger auf informelle Selbstbestimmung wünschen, werden vertröstet und auf die vorgenommene Erstprüfung verwiesen. Vertreter der Datenschutzbehörden haben jedoch mit Vertretern der EU-Kommission zusammen den Privacy Shield geprüft, waren aber nicht an dem Prüfbericht der Kommission beteiligt.
Der Prüfungsbericht der Europäischen Datenschutzbehörde wird – nach Presseangaben – Ende November erscheinen.
Fazit
Es ist festzustellen, dass selbst das positive Ergebnis der Prüfung des Privacy Shield durch die EU-Kommission, keine absolute Sicherheit des Datentransfers in die USA festsetzt. Es wird lediglich ein Sicherheitsgefühl suggeriert, welches durch vorherige und bestehende Kritik aufgehebelt wird.
Es ist abzuwarten, wie sich die Europäische Datenschutzbehörde Ende November dazu äußern wird.
Eine 100%ige Sicherheit kann jedoch nicht geboten werden, daher sollten sich Unternehmen, sofern diese die Absicht haben, Dienste eines US-Unternehmens zu nutzen, vorab mit Ihrem Datenschutzbeauftragten beraten, um Sicherheitsdefizite zu umgehen und alternative Möglichkeiten zu ermitteln.