Wie wir bereits berich­tet haben, hat der EuGH am 6. Okto­ber 2015 das frü­he­re Safe-Har­bor-Frame­work zur Über­mitt­lung von Per­so­nen­da­ten aus der EU an Emp­fän­ger in den USA im Schrems-Urteil auf­ge­ho­ben. In der Fol­ge haben sich die USA und die EU auf eine Nach­fol­ge-Rege­lung unter dem Titel “Pri­va­cy Shield” geei­nigt, zunächst nur auf poli­ti­scher Ebe­ne. Am 29. Febru­ar 2016 wur­de sodann die gesam­te Doku­men­ta­ti­on zum EU-US Pri­va­cy Shield ver­öf­fent­licht. Die Doku­men­ta­ti­on und wei­te­re Ein­zel­hei­ten zum Pri­va­cy Shield fin­den sich auf daten​recht​.ch.

Der Kern des Pri­va­cy Shield besteht in einer Rei­he von Princi­p­les, die von den unter­stell­ten Unter­neh­men ein­zu­hal­ten sind. Die­se Princi­p­les selbst glie­dern sich in Bestim­mun­gen zur Trans­pa­renz (Noti­ce), einem Opt-Out-Recht der betrof­fe­nen Per­so­nen (Choice), Bestim­mun­gen über die Wei­ter­ga­be von Per­sio­nen­da­ten (Onward Trans­fer), Bestim­mun­gen zur Daten­si­cher­heit (Secu­ri­ty), Regeln über die Ver­hält­nis­mä­ssig­keit, Zweck­bin­dung und Daten­qua­li­tät (Data Inte­gri­ty and Pur­po­se Limi­ta­ti­on), Bestim­mun­gen über das Aus­kunfts­recht (Access) und Bestim­mun­gen zum Rechts­schutz (Recour­se, Enforce­ment and Lia­bi­li­ty). Eine Zusam­men­fas­sung des Inhalts fin­det sich in der Draft Ade­qua­cy Deci­si­on.

Sup­ple­men­tal Princi­p­les ent­hal­ten detail­lier­te­re Bestim­mun­gen, bspw. über sen­si­ti­ve Daten, die Haf­tung von Infra­struk­tur­an­bie­tern wie Tele­coms oder ISPs, Daten­be­ar­bei­tun­gen durch kotier­te Gesell­schaf­ten, das Aus­kunfts­recht, Daten von Arbeit­neh­mern, den Rechts­schutz, über Gesund­heits­da­ten etc.

Im Zusam­men­hang mit der Mas­sen­über­wa­chung ver­wei­sen die Unter­la­gen auf eine Wei­sung von Prä­si­dent Oba­ma vom Janu­ar 2014, die Grund­sät­ze für Abhör­tä­tig­kei­ten fest­ge­legt hat. Die­se Grund­sät­ze, die durch Wei­sun­gen der Geheim­dien­ste (die “US Intel­li­gence Com­mu­ni­ty) kon­kre­ti­siert wur­den, ver­bie­ten Mas­sen­über­wa­chung kei­nes­wegs — im Gegen­teil; sie wird sogar aus­drück­lich als not­wen­di­ges Instru­ment zum Schutz der natio­na­len Sicher­heit bezeich­net. Die Über­wa­chung und die Spei­che­rung der ent­spre­chen­den Daten wird aber leicht ein­ge­schränkt, und die Nut­zung von Daten, die durch Mas­sen­über­wa­chung beschafft wur­den, wird aber auf sechs Zwecke beschränkt.

Betrof­fe­ne Per­so­nen kön­nen eine Beschwer­de an das betref­fen­de US-Unter­neh­men rich­ten. Beschwer­den sind inner­halb von 45 Tagen zu beant­wor­ten. Zudem soll eine kosten­lo­se alter­na­ti­ve Schieds­stel­le ein­ge­rich­tet wer­den.  

Ende März 2016 wird nun die Arti­kel-29-Arbeits­grup­pe an einem ausser­or­dent­li­chen Tref­fen über den Pri­va­cy Shield bera­ten. Auch die Mit­glied­staa­ten wer­den sich dazu äussern. Anschlie­ssend wird die Kom­mis­si­on end­gül­tig ent­schei­den. In der Zwi­schen­zeit wer­den sich die US-Behör­den auf ihrer Sei­te auf die Umset­zung des Pri­va­cy Shield vor­be­rei­ten. Es ist anzu­neh­men, dass die Schweiz mög­lichst rasch ein par­al­le­les Abkom­men aus­han­deln will.

David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.