Der EU-US Privacy Shield auf der Kippe?

Hintergründe zur Kritik am EU-US Privacy Shield

Seit dem Facebook und Cambridge Analytica Skandal wird vehement über den EU-US Privacy Shield diskutiert. Doch was kann man sich unter dem Begriff vorstellen? Bei dem Privacy Shield handelt es um ein Abkommen zwischen der EU und den USA, um ein gewisses Maß an Datenschutz für Datentransfer zu garantieren. Durch dieses Abkommen wird die USA von der EU als sicheres Drittland klassifiziert mit einem angemessenen Datenschutzniveau. Maßgeblich wirkt der Privacy Shield für international tätige Unternehmen.

Im Juli diesen Jahres hat das EU Parlament ein Resolution verabschiedet die, den Schutz des Betroffenen beim Datentransfer durch den EU-US Privacy Shield in Frage stellt. Den Vereinigten Staaten wird gedroht den EU-US Privacy Shield nicht länger anzuerkennen, sollten der amerikanische Gesetzgeber nicht bis zum 1. September 2018 eine Reihe von Änderungen vornehmen.

Klar ist, dass der EU-US Privacy Shield elementar für das Geschäft ist. Sollte der EU-US Privacy Shield nicht mehr anerkannt sein, hat das grundlegende Auswirkungen auf den Datenaustausch zwischen Europa und den USA. Dies bedeutet große Auswirkungen auf alle US Unternehmen, die sich auf den EU-US Privacy Shield berufen und damit dem den einfachen Weg der Compliance gehen. Etwa 3000 europäische Unternehmen würden plötzlich ohne jegliche juristische Basis für den Datenaustausch mit Ihren US Partner dastehen. Die allgemeine Haltung ist jedoch, dass man die jahrelange Aufbauarbeit für den EU-US Privacy Shield nicht aufgeben sollte. Sondern im EU-US Privacy Shield auch als Möglichkeit sehen sollte, dem Ziel näher zu kommen.

Was genau wird am EU-US Privacy Shield bemängelt? Folgende Bereiche weisen nach Meinung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments Mängel auf:

Institutionelle Mängel beim EU-US Privacy Shield

Ein Problem liegt im grundlegenden Lebenszyklus der unterzeichnenden Unternehmen des EU-US Privacy Shield. Es sind keine systematischen und proaktiven Prüfungen vorgesehen. Die Behörden reagieren nur auf gemeldete Verstöße, so auch bspw. auf die Aktivitäten von Cambridge Analytica im Rahmen derer, wie von Facebook bestätigt wurde, die Daten von 2,7 Millionen EU-Bürgern missbraucht wurden

Der Ombudsmann Mechanismus des EU-US Privacy Shield

Es wird des weiteren bemängelt, dass das US Innenministerium nicht mit genügend Macht ausgestattet ist, Betroffene angemessen zu entschädigen. Es ist also ein Mechanismus der effektiv keine Wirkung hat und damit zur Farce wird.

Mängel im Bereich der Marktkontrolle des EU-US Privacy Shield

Es wird vom EU Parlament kritisiert, dass es keine Kontrollmechanismen gibt, die die Umsetzung der Anforderungen durch die Unterzeichner des EU-US Privacy Shield gewährleisten und ggf. nachverfolgen. Außerdem hat das EU Parlament das US Wirtschaftsministerium aufgefordert proaktive Kontrollen der Unterzeichner vorzunehmen. Mit Hinblick auf die jüngsten Enthüllungen bspw. um Facebook und Cambridge Analytica wurden die US Behörden aufgefordert derartige Machenschaften umgehend zu verfolgen und diese Unternehmen vom EU-US Privacy Shield zu suspendieren. Die EU Behörden werden in diesem Rahmen aufgefordert diese Fälle zu untersuchen und ggf. den Datentransfer unter dem EU-US Privacy Shield zu verbieten.

Weitere Bedenken wurden darüber geäußert, dass

  1. im EU-US Privacy Shield die Entscheidungsfindung basierend auf automatisierter Verarbeitung oder Profilierung im nicht näher geregelt ist.
  2. das EU-US Privacy Shield nicht dem EU Modell der Einwilligungs-basierten Verarbeitung folgt, sondern nur in speziellen Fällen eine Opt-out oder Einwand erlaubt.
  3. im März 2017 der Gesetzesantrag der Federal Communication Commission zum Schutz der Kunden von Telekomunikations-Anbietern und Internetserviceprovidern abgelehnt hat. Dieses Gesetz sah vor, dass Anbieter o.g. Branchen eine explizite Einwilligung für die Weitergabe und den Verkauf von Webverhaltens und anderer privater Daten an Werbeunternehmen von Ihren Kunden einzuholen haben. Damit sind die Daten derzeit unkontrolliert auf dem Markt erhältlich.

Strafverfolgung und Nationale Sicherheit im Rahmen des EU-US Privacy Shield

Der Begriff Nationale Sicherheit wird lediglich erwähnt, aber es fehlt an Vorschriften für praktische Umsetzung um ein notwendiges Sicherheitsniveau auszubauen. Damit können Fälle des Datenmissbrauchs mit Hinblick auf was nötig und angemessen ist vor Gericht nicht effektiv untersucht werden um eine Compliance sicherzustellen.

Das EU Parlament merkte zusätzlich an, dass

  1. der CLOUD (Clarifying Lawful Overseas Use of Data) Act, der US und Strafverfolgungsbehörden anderer Länder dazu berechtigt über Grenzen hinweg auf Daten zugreifen zu können, im Konflikt mit der EU Gesetzgebung steht. Es wäre sinnvoller in diesem Fall auf bestehende Verträge zum Austausch von Informationen zwischen Länder zuzugreifen.
  2. die Executive Order 12333 der NSA (National Security Agency) ermöglicht personenbezogene Daten mit 16 anderen Behörden ( FBI, DEA, HLS,..) zu teilen. Hier wird bemängelt, dass dies ohne jegliche juristische Grundlage erfolgen kann.
  3. im Rahmen der Section 702 der US Foreign Intelligence Surveillance Act (FISA) überprüft werden muss, dass Daten nicht willkürlich gesammelt. Zusätzlich sollte es noch beschränkte Zugänge geben. Jedoch profitieren EU Bürger nicht von diesem Schutz.
  4. die Executive Order 13768 alle unter der Obama Präsidentschaft gegebenen Datenschutz-Versprechen und Garantien revidiert oder außer Kraft setzt.

Die Kommission wurde angewiesen alle Vorkehrungen zu treffen um volle Compliance des EU-US Privacy Shield mit der DSGVO zu gewährleisten. Dies bedeutet eventuelle Schlupflöcher zu schließen und Wettbewerbsvorteile US amerikanischer Unternehmen ggü. europäischen Unternehmen zu unterbinden.

 

Dieser Text ist eine Übersetzung aus dem Englischen der Resolution 2018/2645(RSP) vom 05.07.2018