Am Mittwoch hat der Bundesverband der Verbraucherzentralen (vzbv) eine Analyse des EU-US- Privacy Shields veröffentlicht. Der vzbv legt in seiner Analyse den Schwerpunkt auf den Schutz personenbezogener Daten von Betroffenen in ihrer Rolle als Verbraucher.
Hintergrund
Nach geltendem EU-Recht dürfen personenbezogene Daten nur in Drittstaaten außerhalb der EU übermittelt werden, wenn diese über ein angemessenes Datenschutzniveau aufweisen (EU-Datenschutzrichtlinie 95/46/EG). Grundsätzlich verfügen die USA über kein angemessenes Datenschutzniveau. Allerdings konnten Unternehmen seit dem Jahr 2000 aufgrund des sog. Safe Harbor Abkommens Daten in die USA übermitteln, wenn die empfangenden US-Unternehmen sich selbst verpflichteten, bestimmte Datenschutzregelungen einzuhalten. Der Europäische Gerichtshof (EuGH) kippte dieses Abkommen im Oktober letzten Jahres. Zwar müsse, so der EuGH, im Drittland kein mit der EU identisches Schutzniveau herrschen. Jedoch müsse das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen vergleichbare Freiheiten und Grundrechte wie in der EU gewährleisten. Das Gericht legte hier besonderen Wert auf die Voraussetzung, dass gerade durch die Rechtsordnung des Drittlandes ein solches angemessenes Schutzniveau sichergestellt werden müsse. Hierzu gehörten u.a. wirksame Überwachungs- und Kontrollmechanismen, mit denen etwaige Verstöße gegen die Persönlichkeitsrechte ermittelt, gerichtlich überprüft und auch geahndet werden können. Um einen reibungslosen Datenaustausch mit den USA nicht zu gefährden, hat die EU-Kommission ein Folgeabkommen ausgehandelt. Wir hatten berichtet. Der Kommissionsentwurf befindet sich derzeit in Abstimmung.
Analyse des vzbv
Der vzbv kommt zu dem Schluss, dass das geplante Safe Harbor Nachfolgeverfahren nicht dem EU-Recht entspricht. Ein massiver Kritikpunkt ist, dass das Abkommen nicht auf Gesetzen oder vergleichbaren verbindlichen Regelungen, sondern lediglich auf Zusagen in Briefen der US-Administration beruht. Die Dokumente sowie die Verfahren sind nach Ansicht des vzbv undurchsichtig und kompliziert. In der Frage, welche Verpflichtungen teilnehmende US-Unternehmen zusagen müssen, gäbe das Abkommen in seiner vorliegenden Form nur vage Vorgaben und lasse sehr viel Spielraum zu. Auch gäbe es keine klaren Vorgaben für die Selbstzertifizierung der Unternehmen. Problematisch wird auch gesehen, dass die mit der Aufsicht betrauten US-Stellen (US Department of Commerce und die Federal Trade Commission) als Teil der Exekutive nicht unabhängig seien. Das an US-Recht ausgerichtete Beschwerdeverfahren wird von den Verbraucherschützern als umständlich, kompliziert und langwierig kritisiert.
Der vzbv belässt es aber nicht nur bei Kritik, er stellt auch Mindestanforderungen auf, die nachzuverhandeln seien. „Die EU darf jetzt nichts überhasten und muss dringend mit den USA nachverhandeln. Das Abkommen darf europäisches Datenschutzrecht nicht unterlaufen. Sonst droht Privacy Shield womöglich dasselbe Ende wie der Safe-Harbor-Vereinbarung“, sagt Klaus Müller, Vorstand des vzbv.
Forderungen des vzbv
- „Privacy Shield muss im Kern dem europäischen Datenschutzrecht gleichwertig sein. So müssen sich Grundregeln des EU-Datenschutzes wie die Einwilligung in die Datenerhebung und -verarbeitung, die Zweckbindung von Daten oder Datensparsamkeit wiederfinden.
- Wirksame Überwachungs- und Kontrollmechanismen sind nötig, um Verstöße zu ermitteln und zu ahnden. Unternehmen sollten belegen müssen, dass sie die Prinzipien einhalten, bevor sie auf die Privacy-Shield-Liste aufgenommen werden.
- Verarbeiten zertifizierte Unternehmen Daten in unzulässiger Weise, müssen Verbraucherinnen und Verbraucher ihre Rechte wie das Auskunftsrecht oder das Recht auf Datenlöschung effektiv durchsetzen können. Sie müssen jederzeit vor europäischen Gerichten klagen und Schadenersatz erstreiten können.“ (siehe hier)
Und nun?
Für den 13. April ist eine Stellungnahme der europäischen Datenschutzaufsichtsbehörden angekündigt. Es wird mit Spannung erwartet, ob deren Kritik ähnlich vernichtend ausfällt. Über das Verfahren haben wir hier berichtet. Die Kommission strebt ein in Kraft treten des Privacy Shield bereits im Juni diesen Jahres an. Wir werden Sie weiterhin auf dem Laufenden halten.