Datenschutzschild: Wir brauchen eine stabilere und nachhaltigere Lösung
In seiner Eigenschaft als unabhängige Aufsichtsbehörde der Organe und Einrichtungen der EU und Berater des EU-Gesetzgebers veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) heute seine Stellungnahme zum EU-US-Datenschutzschild, in der praktische Lösungsvorschläge zum Ausräumen einiger der von dem Entwurf hervorgerufenen Bedenken gegeben werden.
Giovanni Buttarelli, der Europäische Datenschutzbeauftragte (EDSB), erklärte dazu: „Ich weiß die Bemühungen um eine Ersatzlösung für Safe Harbour zu schätzen, aber in seiner jetzigen Fassung ist der Datenschutzschild nicht robust genug, um einer künftigen rechtlichen Überprüfung vor dem Gerichtshof standzuhalten. Sollte die Europäische Kommission eine Angemessenheitsentscheidung annehmen wollen, sind zur Wahrung des Wesens der wichtigsten Datenschutzgrundsätze noch erhebliche Verbesserungen erforderlich, insbesondere im Hinblick auf Notwendigkeit, Verhältnismäßigkeit und Beschwerdemechanismen. Abgesehen davon ist es an der Zeit, im transatlantischen Dialog eine längerfristige Lösung auszuhandeln“.
Im April 2016 nahm die Artikel 29-Datenschutzgruppe eine Stellungnahme zu dem Vorschlag für einen Datenschutzschild an, zu der der EDSB als Mitglied der Gruppe ebenfalls Beiträge leistete. Die Stellungnahme enthält eine detaillierte rechtliche Analyse und fordert die Klarstellung einer Reihe von bedenklichen Punkten. Die Stellungnahme des EDSB erging im Rahmen seiner Aufgabe als unabhängiger Berater der Einrichtungen und Organe der EU zu Implikationen von Maßnahmen, die sich auf das Recht auf Privatsphäre und Datenschutz auswirken.
Damit der Datenschutzschild wirken kann, muss er angemessenen Schutz gegen undifferenzierte Überwachung bieten sowie Verpflichtungen zu Kontrolle, Transparenz, Rechtsmitteln und Datenschutzrechten enthalten. Der EDSB unterstreicht, wie seiner Auffassung nach ein der Sache nach gleichwertiges Schutzniveau in der Praxis vor dem Hintergrund der Selbstregulierung durch private Organisationen aussehen kann, bei der im Transit befindliche oder an die USA übermittelte Daten routinemäßig von Strafverfolgungsbehörden und Nachrichtendiensten analysiert werden.
Da die neue Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 in der gesamten EU umzusetzen ist, weist der EDSB darauf hin, dass sie für alle Aspekte des Datenschutzes einschließlich Datenübermittlungen gelten wird. Auch mit Blick auf ihm gegenüber von EP-Abgeordneten, Industrie, Zivilgesellschaft, Wissenschaft und anderen Gesprächspartnern vorgetragenen Anmerkungen und Bedenken drängt der EDSB den Gesetzgeber, sich die Zeit für die Suche nach einer angemessenen, langfristigen Lösung zu nehmen.
Seiner Ansicht nach müssen sich internationale Unternehmen, die Waren und Dienstleistungen in die EU liefern, über die von ihnen einzuhaltenden Vorschriften restlos klar sein.
In der EU diskriminieren wir nicht aufgrund der Staatsangehörigkeit. Die Kerndatenschutzgrundsätze müssen im Datenschutzschild abgedeckt werden, damit er ein der Sache nach gleichwertiges Schutzniveau von EU- und US-Recht bietet.
Hintergrundinformationen
Die Datenschutzbestimmungen für die EU-Organe – sowie die Pflichten des Europäischen Datenschutzbeauftragten (EDSB) – sind in der Verordnung (EG) Nr. 45/2001 geregelt. Der EDSB ist eine relativ neue, aber zunehmend einflussreiche unabhängige Aufsichtsbehörde, die die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der EU beaufsichtigt, in Bezug auf politische Maßnahmen und Rechtsvorschriften, die sich auf die Privatsphäre auswirken, beratend tätig ist und mit vergleichbaren Behörden zusammenarbeitet, um einen einheitlichen Datenschutz sicherzustellen.
Giovanni Buttarelli (EDSB) und Wojciech Wiewiórowski (stellvertretender EDSB) sind Mitglieder dieser Behörde und wurden durch eine gemeinsame Entscheidung des Europäischen Parlaments und des Rates ernannt. Sie traten ihre fünfjährige Amtszeit am 4. Dezember 2014 an.
Personenbezogene Daten bzw. Informationen: alle Informationen, die sich auf eine bestimmte oder bestimmbare (lebende) natürliche Person beziehen. Beispiele hierfür sind unter anderem Namen, Geburtsdaten, Fotos, Videoaufnahmen, E-Mail-Adressen und Telefonnummern. Weitere Angaben, wie z. B. IP-Adressen und Inhalte von Mitteilungen, die sich auf Endnutzer von Kommunikationsdiensten beziehen oder von ihnen zur Verfügung gestellt werden, gelten ebenfalls als personenbezogene Daten.
Privatsphäre: das Recht einer natürlichen Person, in Ruhe gelassen zu werden und die Kontrolle über die sie betreffenden Informationen auszuüben. Das Recht auf Privatsphäre und die Achtung des Privatlebens ist in der Allgemeinen Erklärung der Menschenrechte (Artikel 12), der Europäischen Menschenrechtskonvention (Artikel 8) und der Europäischen Charta der Grundrechte (Artikel 7) verankert. Die Charta umfasst auch ein ausdrückliches Recht auf den Schutz personenbezogener Daten (Artikel 8).
Verarbeitung personenbezogener Daten: Gemäß Artikel 2 Buchstabe b der Verordnung (EG) Nr. 45/2001 bezeichnet die Verarbeitung personenbezogener Daten „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.“ Siehe hierzu auch das Glossar auf der Website des EDSB.
Datenschutzschild: Im Oktober 2015 erklärte der Gerichtshof der Europäischen Union den Safe Harbour-Rahmen für ungültig, weil er kein im EU-Recht gefordertes ausreichendes Datenschutzniveau für personenbezogene Daten bot, die von Unternehmen aus der EU in die USA übermittelt werden. Im Februar 2016 wurde der EU-US-Datenschutzschild von der Europäischen Kommission und dem Handelsministerium der USA (US Department of Commerce) als Ersatz für Safe Harbour angekündigt.
Gegenstand der Rahmenvereinbarung zwischen der EU und den USA sind Datenübermittlungen über den Atlantik für Strafverfolgungszwecke, während Thema des EU-US-Datenschutzschildes der Datenaustausch zu kommerziellen Zwecken ist.