Nachbesserungsbedarf beim Privacy-Shield
Erneut macht sich Unzufriedenheit unter den europäischen Datenschutzbehörden breit: Im Fadenkreuz der Kritik steht diesmal das sogenannte „Privacy Shield“.
Hierbei handelt es sich um eine informelle Absprache auf dem Gebiet des Datenschutzrechts, welche vor gut anderthalb Jahren zwischen der Europäischen Union und den USA ausgehandelt wurde. Im Kern besteht sie aus einer Reihe von Zusicherungen der amerikanischen Regierung und einem Beschluss der EU-Kommission, wonach die Vorgaben des „Privacy-Shields“ dem Datenschutzniveau der Europäischen Union entsprechen müssen.
Wie mit personenbezogene Daten von EU-Bürgern in den USA umgegangen wird, ist aber weiterhin fraglich. Die sogenannte Artikel-29-Gruppe äußerte hierzu in einer Stellungnahme erhebliche Bedenken, welche nun von Kommission und US-Behörden ausgeräumt werden müssen.
Konkret geht es um die Frage, welcher Rechtsweg EU-Bürger gegen Überwachungsmaßnahmen offensteht. Demnach sei die Einsetzung einer Ombudsperson ein „Schlüsselelement“ in dem Abkommen und sollte daher so schnell wie möglich eingeführt werden. Die Datenschützer setzten EU-Kommission und US-Regierung eine Frist bis zum Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018, um die unabhängige Ombudsperson zu ernennen.
Sollte dies nicht geschehen, könnte es sein, dass der EuGH, der auch schon das Vorgängerabkommen „Safe-Harbor“ für ungültig erklärt hatte, ebenfalls über die Rechtsmäßigkeit des Privacy Shield entscheiden müsste.
Auch wird kritisiert, dass der Verzicht auf anlasslose Massenüberwachung von EU-Bürgern durch die US-Geheimdienste nicht in der Vereinbarung festgeschrieben worden sei. Im September 2017 waren daher acht EU-Datenschützer in die USA gereist. In einem nun veröffentlichen 38-seitigen Bericht kritisieren diese unter anderem, dass für Unternehmen keine Anleitungen oder klaren Informationen über die Grundsätze zum Privacy Shield existieren und weiterhin fraglich ist, in welchem Umfang personenbezogene Daten anlasslos gespeichert werden dürfen.
Inwieweit die Fragen der Datenschützer beantwortet werden, bleibt also zunächst abzuwarten.