Privacy Shield - Alter Wein in neuen Schläuchen?

inga-kristin.grosser.uni-linz, 18. Jänner 2017, 17:58

Die Hintergründe

Privacy Shield und Safe Harbor

Im Jahr 2000 fällte EU-Kommission in Absprache mit der USA die Safe Harbor-Entscheidung, die die Übermittlung von personenbezogenen Daten aus einem EU-Land in die USA regeln sollte. Der Hintergrund dafür war, dass es die Datenschutzrichtlinie 95/46/EG eigentlich verbietet, personenbezogene Daten aus der EU in einen Staat außerhalb zu transferieren, wenn dieser kein mit der in der EU geltenden, gleichzusetzendes Schutzniveau aufweist, was für die USA zutraf. Mit ihrer Entscheidung erkannte die EU-Kommission an, dass US-amerikanische Unternehmen durch ihren Beitritt zu Safe-Harbor (über eine Liste beim US-Handelsministerium) die für die EU gültigen Datenschutzbestimmungen erfüllen. [1]

Ein Urteil des Urteil des EuGH im Oktober 2015 erklärte eine auf diese Entscheidung gestützte Datenübermittlung sei nicht mehr zulässig und kippte somit Safe Harbor. In dem Urteil kritisierte der EuGH den Zugriff auf Daten europäischer Nutzer durch US-Behörden und berief sich auf den Vertrag von Lissabon und die Charta der Grundrechte der EU. Diese verleihen der Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten ein Grundrecht. Dem vorangegangen war eine Klage des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen Facebook. [2]Eine Datenschutzrichtline für elektronische Kommunikation folgte (ePrivacy-Richtlinie) folgte 2002, 2009 die Cookie-Richtlinie für den Schutz personenbezogener Daten im Internet, sowie das EuGH-Urteil zur Vorratsdatenspeicherung im April 2014 und das "Recht auf Vergessen werden" im Mai 2014 [1].

Im Februar 2016 einigte sich die EU und die USA auf das Nachfolgeabkommen EU-US Privacy Shield, für den als Grundlage die Datenschutzgrundverordnung (EU-DSGVO) der EU gilt.

Die EU-DSGVO wurde April 2016 durch das EU-Parlament beschlossen worden, trat 2016 in Kraft und ist anwendbar ab dem 25. Mai 2018. Sie schafft ein verbindliches Schutzniveau für die gesamte EU und sieht vor:

  • Internetkonzerne müssen ausdrückliche Zustimmung der Nutzer zur Verwendung der Daten einholen
  • Recht gespeicherte Daten wieder löschen zu lassen
  • Recht Daten bei Wechsel des Anbieters mitzunehmen (Portabilität)
  • Unternehmen müssen Produkte datenschutzfreundlich einrichten (Privacy by Design and by Default)
  • Gilt für EU-Unternehmen und Firmen aus Drittstaaten
  • Ausnahmen für (komerzielle) Forschung (pseudonymisierte Daten)
  • Widerspruch mit Recht USA - Belange nationale Sicherheit betreffend

 

Personenbezogene Daten - sensible Daten - schutzwürdige Daten

Das Datenschutzgesetz 2000 (DSG2000) [5] kennt folgende Daten:

1) Personenbezogene Daten (§4):
Angaben über eine Person, deren Identität mittels dieser Daten festgestellt werden kann (z. B. Name, Adresse, Telefonnummer, Familienstand)

2) indirekt personenbezogen
Sind solche Daten, mittels derer der Empfänger der Daten mit rechtlich zulässigen Mitteln nicht auf die Identität rückschließend kann. Z. B. Daten werden unter einer Nummer für die Person statt des Namens gespeichert (wie bei statistischen Daten)

3) Sensible Daten

  • Daten natürlicher Personen über
  • Rassische/ethnische Daten
  • politische Meinung
  • Religiöse/philosophische Überzeugung
  • Gesundheit
  • Sexualleben

Es ist grundsätzlich untersagt, sensible Daten zu sammeln und zu verwenden, es sei denn, diese sind von der betroffenen Person selbst veröffentlicht worden (z.B. Facebook) oder der/die Betreffende ist von der Verwendung in Kenntnis gesezt worden und hat dieser ausdrücklich zugestimmt.

4) Besonders schutzwürdige Daten

  • Strafrechtliche Daten
  • Daten zur Beurteilung der Kreditwürdigkeit
  • Daten aus Verbundinformationssysteme (mehrere Auftraggeber haben Zugang zu diesen Daten)

(Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten §8, und $9 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten)


Für was gelten die Bestimmungen im DSG2000?
Für die Verwendung von personenbezogenen Daten im Inland - unabhängig davon, ob ein Auftraggeber im In- oder Ausland seinen Sitz hat.

 

Datenschutz und seine Bedeutung für den EU-Außenhandel

Annegret Bendlek und Evita Schmieg beschäftigen sich in Ihrem im Oktober 2016 in Deutschland erschienenen Artikel "EU-Außenhandel und Datenschutz: wie lässt sich beides besser vereinbaren?" mit der Frage des Datenschutzes in Bezug auf den Privacy Shield und weitere Handels- und Dienstleistungsabkommen, die aktuell verhandelt oder bereits beschlossen wurden. Ich werde mich im Folgenden vor allem auf die datenschutzrechtlichen Aspekte konzentrieren. Die Autorinnen diskutieren weiters mögliche handelspolitische Ansätze auf Seite 7 und 8.  Als Treiber für einen freien, transatlantischen Datentransfer sehen die Autorinnen in der Bedeutung für den Außenhandel vor allem in Bezug auf den wachsenden Anteil internationaler, digitaler Dienstleistungen und in dem Handel mit digitalen Dienstleistungen. Die Regelsetzung der EU-Kommission hält allerdings mit der technischen Entwicklung im digitalen Sektor aktuell nicht mit, konkrete Gesetze fehlen.

Der Handel mit digitaler Technnologie und digitaler Dienstleistungen ist "großteils mit dem Transfer von Daten verbunden, die zum Teil personenbezogen sind".[1] Eine Nutzung und Auswertung ist nur bei einem gegebenen freien, internationalen Datenfluss möglich.

Wann fallen Daten im Außenhandel an, die datenschutzrechtlich relevant sein könnten:

  • Nebenprodukt der Nutzung digitaler Dienstleistungen
  • Management globaler Wertschöpfungsketten bei internationalen Unternehmen
  • Kommunikation (z. B. E-Mail)
  • Nutzung des Wissens von Nutzern für Produktentwicklungen (z.B. Crowd Sourcing)
  • Internationale Zusammenarbeit in der Wissenschaft
  • Handel von Daten (z.B. Consulting-Dienstleistungen, Internetnutzungsstatistiken)
  • Von Maschinen/Anlagen generierte Daten (Autos, Aufzüge, ..)

 

Bezüge zum Datenschutz in Handelsabkommen

Der Umgang mit der internationalen Versendung von (personenbezogenen) Daten aus Österreich wird auch durch Handelsabkommen beeinflusst.

1) GATS (Internationales Handelsabkommen)

Das "General Agreement on Trade Services" (Allgemeines Abkommen über den Handel mit Dienstleistungen) regelt den internationalen Dienstleistungshandel (1995) durch die Welthandelsorganisation WTO.

  • Gewährt Zollfreiheit für bestimmte informationstechnologische Produkte = Informationstechnologie-Abkommen
  • Liberalisierungspflichten: Gleichbehandlung und freier Marktzugang
  • Deckt zahlreiche digital verfügbare Dienstleistungen ab
  • Österreich-Beitritt 1995 zu GATT (war der Vorläufer)

Rechtliche Grundlage für Datenschutzregeln wird durch Ausnahmetatbestände geschaffen:

  • Keine Verpflichtung zur Preisgabe vertraulicher Informationen, sofern dies nicht dem öffentlichen Interesse widerspricht
  • Recht der Mitgliedsstaaten Maßnahmen zu ergreifen, um Schutz der Privatsphäre un Bezug auf personenbezogene Daten zu gewährleisten.

 

2) ITA (Internationales Handelsabkommen, Teil von GATS)

Information Technology Agreement (Informationstechnologie-Abkommen)

  • Zollfreiheit für bestimmte IT-Produkte (Computer, Telekommunikatinsausrüstung..)
  • betrifft Handel mit Daten als Ware oder als Bestandteil von Waren
  • z. B. Fitnesstracker: Big Data

 

3) Dienstleistungsabkommen TiSA

Abkommen über den Handel mit Dienstleistungen (Trade in Services Agreement)

  • Aktuell in Verhandlung über Informations- und Kommunikationsdienstleistungen (inkl. grenzüberschreitendem Datentransfer), elektronischem Handel und computerbezogenen Dienstleistungen
  • jede Vertragspartei soll angemessene Regeln zum Schutz der Privatsphäre entwickeln in Bezug zu personebezogenen Daten
  • Befürchtungen, dass sich USA durchgesetzt hat und freier Datentransfer vorgesehen ist
  • Wird für dei gesamte EU verhandelt

 

4) Transatlantisches Handelsabkommen TTIP

  • In Verhandlung
  • Liberalisierung des Dienstleistungssektors
  • Bestandteil "Computerdienste" umfasst Verarbeitung sämtlicher personenbezogener Daten für kommerzielle Zwecke
  • Fragen des Datenschutzes werden nicht verhandelt. Vermutlich über GATS abgedeckt

 

Wen schützt nun der Privacy Shield vor dem Hintergrund der Wichtigkeit für den Außenhandel?

Die Autorinnen zeigen in ihrem Artikel auf, dass in Handelsabkommen wirtschaftliche Aspekte meist vor den datenschutzrechtlichen stehen. Von einem direkten Schutz kann laut den Ausführungen von Bendiek und Schmieg nicht wirklich gesprochen werden. Eher von der Wahrung wirtschaftlicher Interessen durch freien, transatlantischen Datenaustausch. Kontrolliert wird durch das US-Handelsministerium.

Marginale Verbesserungen für den Schutz europäischer Bürger

Neu für den Konsumenten seit Safe Harbor ist, dass er sich bei der Verletzung seiner Datenschutzrechte durch nationale Belange an einen Ombudsmann wenden kann, der unabhängig von US-Sicherheitsbehörden ist. US-Unternehmen müssen zudem innerhalb gewisser Fristen auf Beschwerden europäischer Bürger reagieren. Es ist nun möglich, dass europäisceh Datenschutzbehörden Beschwerden an das US-Handelsministerium weitergeben können

Max Schrems äußerte sich im Juli 2016 kritisch zum Privacy Shield, da dieser der USA in einem Zusatz die Massenüberwachung für verschiedene breit gefasste Anwendungsszenarien erlaubt, unter anderem im Bereich der Internationalen Kriminalität. Gesammelte Daten müssten bei diesen Szenarien noch nicht einmal zwingend damit in Zusammenhang stehen. Damit ignoriere der Privacy Shield das Urteil des EuGH, das im Bezug auf Safe Harbor genau diesen Umstand kritisierte. [2]

 

Europäische Unternehmen verunsichert - längerfristige Strategien gesucht

Sowohl der Artikel, aber auch Daniel Rücker, [4] Rechtsexperte der europäischen Wirtschaftskanzlei Noerr sprechen von großen Verunsicherungen auf Seiten der Unternehmen. Zwar können sich transatlantisch agierende Unternehmen seit August 2016 bei Datentransfers auf den Privacy Shield beziehen und sich datenschutzrechtlich durch eine Selbstzertifizierung absichern.

"Datenschutzrechtlich entsteht durch die Selbstzertifizierung auf Seiten des sich zertifizierenden US-Unternehmens ein „angemessenes Datenschutzniveau“ i.S.d. § 4b Abs. 2 BDSG"

Rücker rechnet wegen der Kritik an der Entscheidung mit Verschärfungen in Bezug auf den Datentransfer und rät zu längerfristigen Strategien zur Schaffung eines angemessenen Datenschutzniveaus. Er empfiehlt EU-Standardvertragsklauseln und Binding Corporate Rules.

 

Reflexion & Auswahl

Der Artikel bietet einen guten Überblick über die aktuellen Datenschutzdiskrepanzen mit Privacy Shield und macht folgendes deutlich:

Der Treiber ist nicht der Datenschutz, sondern der internationale Handel. Demnach ist eine Betrachtung der relevanten Handelsabkommen in diesem Zusammenhang sehr sinnvoll. Privacy Shield enthält nur einen Teil der Geschichte im Ringen zwischen Handelsinteressen und Datenschutz.

Die dargelegten Argumente führen mich zu dem Schluss, dass Privacy Shield

1) Konsumenten in der EU nicht wirklich vor der ungewollten Verwendung ihrer personenbezogenen Daten schützt, sondern lediglich unpraktikable Werkzeuge anbietet

2) europäische Unternehmen ebenfalls nicht ausreichend geschützt werden, da für sie immer zuerst das geltende EU-Recht gilt (das strenger als das US-Datenschutzrecht ist)

3) es in erster Linie US-amerikanischen Unternehmen den Datentransfer erleichert, indem eine Angleichung an amerikanisches Datenschutzrecht stattfindet

 

 

Quellen

[1] Bendiek, Annegret ; Schmieg, Evita ; Stiftung Wissenschaft und Politik -SWP- Deutsches Institut für Internationale Politik und Sicherheit (Ed.): EU-Außenhandel und Datenschutz: wie lässt sich beides besser vereinbaren?. Berlin,2016 (SWP-Aktuell 10/2016).

[2] derStandard. 12.07.2016. Max Schrems zu Privacy-Shield: EU-Kommission ignoriert Gerichtsurteihttp://derstandard.at/2000040919960/Datenschuetzer-Schrems-zu-httpderstandardat2000040906504EU-beschliesst-Privacy-Shield-mit-USA-Kritik

[3] https://www.datenschutz-grundverordnung.eu/

[4] https://www.noerr.com/de/newsroom/News/eu-us-privacy-shield-der-nachfolger-von-safe-harbor-wurde-verabschiedet.aspx

[5] https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597

1 comment :: Kommentieren

Gleiche Schlussfolgerungen...

kerstin.wasmeyer.uni-linz, 18. Jänner 2017, 13:01

..unsere Artikel geben das gleiche Bild. Was mich nicht sehr überrascht, denn das Thema ist noch sehr jung und wird auch sehr kritisch gesehen. Gerade Datenschutz ist ein Thema wo zwischen EU und USA Welten liegen - daher ist auch ein Abkommen zu diesem Thema keine einfache Sache. Es wird im Großen und Ganzen gesehen einen Verlierer geben und der wird meiner persönlichen Meinung nach der EU Bürger mit seine Daten sein 

Verlinken :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.