Wie wir bereits berichtet haben, hat der EuGH am 6. Oktober 2015 das frühere Safe-Harbor-Framework zur Übermittlung von Personendaten aus der EU an Empfänger in den USA im Schrems-Urteil aufgehoben. In der Folge haben sich die USA und die EU auf eine Nachfolge-Regelung unter dem Titel “Privacy Shield” geeinigt, zunächst nur auf politischer Ebene. Am 29. Februar 2016 wurde sodann die gesamte Dokumentation zum EU-US Privacy Shield veröffentlicht. Die Dokumentation und weitere Einzelheiten zum Privacy Shield finden sich auf datenrecht.ch.
Der Kern des Privacy Shield besteht in einer Reihe von Principles, die von den unterstellten Unternehmen einzuhalten sind. Diese Principles selbst gliedern sich in Bestimmungen zur Transparenz (Notice), einem Opt-Out-Recht der betroffenen Personen (Choice), Bestimmungen über die Weitergabe von Persionendaten (Onward Transfer), Bestimmungen zur Datensicherheit (Security), Regeln über die Verhältnismässigkeit, Zweckbindung und Datenqualität (Data Integrity and Purpose Limitation), Bestimmungen über das Auskunftsrecht (Access) und Bestimmungen zum Rechtsschutz (Recourse, Enforcement and Liability). Eine Zusammenfassung des Inhalts findet sich in der Draft Adequacy Decision.
Supplemental Principles enthalten detailliertere Bestimmungen, bspw. über sensitive Daten, die Haftung von Infrastrukturanbietern wie Telecoms oder ISPs, Datenbearbeitungen durch kotierte Gesellschaften, das Auskunftsrecht, Daten von Arbeitnehmern, den Rechtsschutz, über Gesundheitsdaten etc.
Im Zusammenhang mit der Massenüberwachung verweisen die Unterlagen auf eine Weisung von Präsident Obama vom Januar 2014, die Grundsätze für Abhörtätigkeiten festgelegt hat. Diese Grundsätze, die durch Weisungen der Geheimdienste (die “US Intelligence Community) konkretisiert wurden, verbieten Massenüberwachung keineswegs — im Gegenteil; sie wird sogar ausdrücklich als notwendiges Instrument zum Schutz der nationalen Sicherheit bezeichnet. Die Überwachung und die Speicherung der entsprechenden Daten wird aber leicht eingeschränkt, und die Nutzung von Daten, die durch Massenüberwachung beschafft wurden, wird aber auf sechs Zwecke beschränkt.
Betroffene Personen können eine Beschwerde an das betreffende US-Unternehmen richten. Beschwerden sind innerhalb von 45 Tagen zu beantworten. Zudem soll eine kostenlose alternative Schiedsstelle eingerichtet werden.
Ende März 2016 wird nun die Artikel-29-Arbeitsgruppe an einem ausserordentlichen Treffen über den Privacy Shield beraten. Auch die Mitgliedstaaten werden sich dazu äussern. Anschliessend wird die Kommission endgültig entscheiden. In der Zwischenzeit werden sich die US-Behörden auf ihrer Seite auf die Umsetzung des Privacy Shield vorbereiten. Es ist anzunehmen, dass die Schweiz möglichst rasch ein paralleles Abkommen aushandeln will.