Einstieg in die Welt der Webwissenschaften

Sidler, I., & Vasella, D. (2016). Aus Safe Harbor wird Privacy Shield: Folgen des Urteils des EuGH

Einleitung

Der Artikel fasst das neue Abkommen EU-US-Privacy Shield zusammen und bezieht dazu Stellung. Vor allem steht dabei im Fokus, ob die Mängel des Vorgängermodells behoben wurden oder inwieweit weiterhin Lücken bestehen.

Im Rahmen des Safe Harbor Abkommen durften personenbezogenen Daten aus der EU an US-amerikansiche Unternehmen weitergeleitet werden. Allerdings nur an jene, die sich den Grundsätzen des Abkommens unterstellt haben.

Die Diskussion rund um das Safe Harbor Abkommen wurde auch durch den Prozess von Max Schrems gegen Facebook aktuell. Denn aufgrund der Safe-Harbor Entscheidung hielt sich der Commissioner nicht verpflichtet, die behaupteten Tatsachen von Max Schrems zu untersuchen. Max Schrems jedoch zog weiter an den irischen High Court. Dieser befand im Jahr 2014, dass die personenbezogenen Daten der Facebook-Nutzer doch der NSA ausgesetzt sein könnten.

Kernthemen des Artikels

Mängel Safe Harbor

• Das Abkommen bindet nur die Unternehmen, welche sich diesem unterstellt haben. Es gilt aber nicht dfür die Behörden.
• Die Unternehmen bleiben entgegenstehendem inneramerikanischem Recht verpflichtet.
• Es wurde nicht geprüft, ob US-amerikansiche Rechtsvorschriften Eingriffe in die Grundrechte angemessen begrenzen oder ob diese einen wirksamen gerichtlichen Rechtsschutz vermitteln
• Für ein angemessenes Schutzniveau hätten die Entscheidungen regelmäßig geprüft werden müssen, um allfälligen Veränderungen nachkommen zu können.

Diese Mängel des Abkommens führen letztendlich zu dem Ergebnis, dass kein angemessenes Datenschutzniveau gewährleistet werden kann. Das ist unabhängig von den Inhalten des Abkommens, sondern ist auf das US-amerikanische Recht zurück zu führen. Der EuGH erklärt die Safe-Harbor-Entscheidung der Kommission deshalb für ungültig.

Privacy Shield

 Folgende Punkte sollen zur Verbesserung des Datenschutzes beitragen:

•  Die Unternehmen aus den USA, welche personenbezogene Daten verarbeiten dürfen, habe sich an strengere Auflagen zu halten.
• Neuerungen: Informationspflichten, Opt-Out-Recht der betroffenen Person, Anforderungen betreffend der Weitergabe von Personendaten, Auflagen zur Datensicherheit, Regeln über die Verhältnismässigkeit, Zweckbindung sowie Datenqualität.
• Einhaltung der Auflagen soll in Zukunft besser kontrolliert werden sowie auch umgesetzt. Bei Nichteinhaltung können die Unternehmen von der Liste gestrichen werden.
• Jene, die europäische Arbeinehmerdaten erhalten, müsse sich dazu verpfkchten, die Entscheidungen der europäischen Datenschutzaufsichtsbehäre zu befolgen.
• Es sind gewisse Transparenzpflichten und Schutzvorkehrungen vorgesehen, beim Zugruff auf Daten durch US-Behörden.
• Wenn durch Überwachungsmassnahmen gewonnene Daten widerrechtlich und absichtlich gebraucht oder bekannt gegeben werden, haften die USA für den Schaden und die Verfahrenskosten.

Mangelnde Bindung staatlicher Behörden

Der Punkt, dass das Safe-Harbor-Abkommen die amerikanischen Behörden nicht in die Pflicht nimmt, ändert sich auch bei dem Privacy Shield nicht. Die Behörden sind immer noch von dem Abkommen ausgenommen.

 Vorrang des inneramerikanischen Rechts

Dies ist auch ein Punkt der sich im Privacy Shield nicht ändert. 

 Allerdings ist im Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten  vorgesehen, dass bestimmte datenschutzrechtliche Grundsätze durch das Recht einer Vertragspartei eingeschränkt werden dürfen. Allerdings nur, wenn dies auf verhältnismässige Weise erfolgt und zum Schutz bestimmter Güter notwendig ist. 

Mangelnde Begrenzung von Grundrechtseingriffen

Bei dem Safe Harbor Abkommen stellte de EuGH fest, dass die Kommission bei der damaligen Entscheidung nicht kontrolliert hatte, ob die amerikanischen Rechtsvorschriften auch Grundrechtseinriffe angemessen begrenzen. Diese Bedenken werde im Rahmen des Privacy Shields nicht vom Tisch gefegt. Besonders weil sich die USA Massenüberwachungsmassnahmen vorbehalten, wenn auch nur zu bestimmten Zwecken. 

Fehlender Rechtsschutz

 Dafür wurden die "Principles" im Privacy Shield festgelegt. Diese sehen vor, dass die zertifizierten Unternehmen Beschwerden innerhalb einer Frist von 45 Tagen behandeln müssen. Weiteres sind sie dazu verpflichtet sich auf Schiedsverfahren mit betroffenen EU-Bürgern einzulassen.

Fehlende regelmäßige Überprüfung

Im Rahmen des Privacy Shield ist eine jährliche Überprüfung durch beide Vertragsparteien vorgesehen. Dazu werden die europäischen Datenschutzbehörden sowie die US-Geheimdienste Zugang haben. Dies ist also ein Punkt, indem das Abkommen defintiv eine Verbesserung bringen sollte.  

Zwischenfazit zum Privacy Shield und nächste Schritte

Durch die neue Regelungen sollen Verbesserungen im Bereich Datenschutz passieren. Ein positiver Aspekt ist vor allem die Verschärfung der für unterstelle Unternehmen geltenden Regeln und die Mechanismen zur Durchsetzung mit Beschwerdemöglichkeiten.

Es sind auf jeden Fall einige Punkte aus der Kritik des EuGHs, welche mit dem Privacy Shield weiter bestehen bleiben.

Kritische Reflexion

 Der Artikel ist zu einem Zeitpuntk verfasst, wo das Privacy Shield noch nicht bestätigt worden ist. Umso verwunderlicher ist es dann doch, zu wissen, dass dieses Abkommen nun durchgegangen ist. Der Artikel ist sehr neutral, aber kritisch gelesen. Es ist zu erkennen, dass dem neuen Abkommen kritisch gegenüber gestanden wird, es ist allerdings keine persönliche Meinung, sondern es sind fundierte Argumente, die mir klar schlüssig vorkommen.

Datenschutz - Amerika- EU sind für mich drei Wörter die nur schwer miteinander kombinierbar sind. Alleine die Mentalität in den USA und wie dort mti Daten Geld gewonnen wird unterscheidet sich doch sehr von den europäischen Standards. Dazu empfehle ich vor allem auch das Buch von Max Schrems "Kämpf um deine Daten", in dem er diese Schere sehr anschaulich und mit guten Beispielen beschreibt.

Das Privacy Shield ist auf jeden Fall eine Verbesserung zu seinem Vorgänger, aber dennoch mit vielen Lücken behaftet, welche kein optimales Ergebnis für EU Bürgerinnen und Bürger bietet.

Bezug zum Thema/Fazit

Der Artikel zeigt schön auf, inwieweit sich das "alte" Abkommen von dem neuen unterscheidet und diskutiert sachlich und mit Argumenten untermauert die Unterschiede. Datenschutz ist ein großes Thema - gerade was es im Vergleich mit den USA betrifft, wo dieser ja quasi nicht vorhanden ist.

Auch bei dem neuen Abkommen dem Privacy Shield stellt sich die Frage inwieweit dieses wirklich den Bürger bzw. den Konsumenten schützt. Der Vergleich in diesem Artikel zeigt auf, dass die Änderungen eher darauf abzielen in einen Graubereich der Rechtslage zu geraten um gegen weitere Anklagen oder Aufhebungen abgesichert zu sein.