EU-US Privacy Shield: Dokumentation und nächste Schritte

Wie wir bere­its berichtet haben, hat der EuGH am 6. Okto­ber 2015 das frühere Safe-Har­bor-Frame­work zur Über­mit­tlung von Per­so­n­en­dat­en aus der EU an Empfänger in den USA im Schrems-Urteil aufge­hoben. In der Folge haben sich die USA und die EU auf eine Nach­folge-Regelung unter dem Titel “Pri­va­cy Shield” geeinigt, zunächst nur auf poli­tis­ch­er Ebene. Am 29. Feb­ru­ar 2016 wurde sodann die gesamte Doku­men­ta­tion zum EU-US Pri­va­cy Shield veröf­fentlicht. Die Doku­men­ta­tion und weit­ere Einzel­heit­en zum Pri­va­cy Shield find­en sich auf datenrecht.ch.

Der Kern des Pri­va­cy Shield beste­ht in ein­er Rei­he von Prin­ci­ples, die von den unter­stell­ten Unternehmen einzuhal­ten sind. Diese Prin­ci­ples selb­st gliedern sich in Bes­tim­mungen zur Trans­parenz (Notice), einem Opt-Out-Recht der betrof­fe­nen Per­so­n­en (Choice), Bes­tim­mungen über die Weit­er­gabe von Per­sio­nen­dat­en (Onward Trans­fer), Bes­tim­mungen zur Daten­sicher­heit (Secu­ri­ty), Regeln über die Ver­hält­nis­mäs­sigkeit, Zweck­bindung und Daten­qual­ität (Data Integri­ty and Pur­pose Lim­i­ta­tion), Bes­tim­mungen über das Auskun­ft­srecht (Access) und Bes­tim­mungen zum Rechtss­chutz (Recourse, Enforce­ment and Lia­bil­i­ty). Eine Zusam­men­fas­sung des Inhalts find­et sich in der Draft Ade­qua­cy Deci­sion.

Sup­ple­men­tal Prin­ci­ples enthal­ten detail­liert­ere Bes­tim­mungen, bspw. über sen­si­tive Dat­en, die Haf­tung von Infra­struk­tu­ran­bi­etern wie Tele­coms oder ISPs, Daten­bear­beitun­gen durch kotierte Gesellschaften, das Auskun­ft­srecht, Dat­en von Arbeit­nehmern, den Rechtss­chutz, über Gesund­heits­dat­en etc.

Im Zusam­men­hang mit der Massenüberwachung ver­weisen die Unter­la­gen auf eine Weisung von Präsi­dent Oba­ma vom Jan­u­ar 2014, die Grund­sätze für Abhörtätigkeit­en fest­gelegt hat. Diese Grund­sätze, die durch Weisun­gen der Geheim­di­en­ste (die “US Intel­li­gence Com­mu­ni­ty) konkretisiert wur­den, ver­bi­eten Massenüberwachung keineswegs — im Gegen­teil; sie wird sog­ar aus­drück­lich als notwendi­ges Instru­ment zum Schutz der nationalen Sicher­heit beze­ich­net. Die Überwachung und die Spe­icherung der entsprechen­den Dat­en wird aber leicht eingeschränkt, und die Nutzung von Dat­en, die durch Massenüberwachung beschafft wur­den, wird aber auf sechs Zwecke beschränkt.

Betrof­fene Per­so­n­en kön­nen eine Beschw­erde an das betr­e­f­fende US-Unternehmen richt­en. Beschw­er­den sind inner­halb von 45 Tagen zu beant­worten. Zudem soll eine kosten­lose alter­na­tive Schiedsstelle ein­gerichtet wer­den.  

Ende März 2016 wird nun die Artikel-29-Arbeits­gruppe an einem ausseror­dentlichen Tre­f­fen über den Pri­va­cy Shield berat­en. Auch die Mit­glied­staat­en wer­den sich dazu äussern. Anschliessend wird die Kom­mis­sion endgültig entschei­den. In der Zwis­chen­zeit wer­den sich die US-Behör­den auf ihrer Seite auf die Umset­zung des Pri­va­cy Shield vor­bere­it­en. Es ist anzunehmen, dass die Schweiz möglichst rasch ein par­al­le­les Abkom­men aushan­deln will.