Die Art.29-Gruppe nimmt in ihrem am 28.11.2017 veröffentlichten Arbeitspapier 255 („EU-U.S. Privacy Shield – First annual Joint Review“) Stellung zum EU-U.S. Privacy Shield.
Nach der von der Europäischen Kommission am 12.07.2016 angenommenen Angemessenheitsentscheidung zum EU-U.S. Privacy Shield haben acht Vertreter der Art.29-Gruppe Mitte September 2017 unter Führung der EU-Kommission in Washington an der ersten jährlichen Überprüfung des Datenschutzschildes teilgenommen.
Die EU-Kommission hatte das Privacy Shield nach dieser Überprüfung als Erfolg eingestuft (wir berichteten am 26.10.2017). Lediglich kleinere Dinge wären noch zu verbessern.
Wie erwartet, sieht dies die Art.-29-Gruppe anders. Zwar begrüßt sie die Anstrengungen der U.S.-Behörden, einen umfassenden Verfahrensrahmen zur Unterstützung des Privacy Shields bspw. durch Einführung stärkerer Kontrollen von Unternehmen vor ihrer Zertifizierung zu schaffen.
Gleichwohl benennt die Art.29-Gruppe wichtige, jedoch bislang ungelöster Belange wie bspw.
- Das Fehlen einer Anleitung oder klaren Information bezüglich bspw. der Prinzipien des Datenschutzschildes, weiterer Datenübertragungen sowie Rechte, Ersatzansprüche und Rechtsbehelfe der betroffenen Datensubjekte,
- Eine stärkere Kontrolle und Supervision im Hinblick auf die Compliance mit den Prinzipien des Datenschutzschildes durch unabhängige, zertifizierte Unternehmen,
- Die Unterscheidung von Auftragsverarbeitern und Verantwortlichen im Zeitpunkt ihrer Registrierung und bei weiteren Überprüfungen,
- Das Bestehen weiteren Verbesserungsbedarfs bei der Interpretation und Handhabung von HR-Daten und den Regelungen automatisierter Entscheidungen/ Profiling,
- Die Verbesserung der Selbstregistrierung (Gewährleistung eines ununterbrochenen Schutzes betroffener Personen und schnellere Compliance mit den Prinzipien des Datenschutzschildes),
- Die Verbesserung der Zusammenarbeit von U.S.-Behörden untereinander innerhalb des Datenschutzschild-Mechanismus.
Darüber hinaus erinnert die Art.29-Gruppe an die ungelösten Themen (Opinion 1/2016) wie bspw. das Nichtvorhandensein oder die Beschränkung von Rechten betroffener Personen, Definitionen, etc.
Weitere Bedenken bestehen hinsichtlich des Zugangs von U.S.-Behörden zu unter dem Privacy Shield in die USA übertragenen Daten.
Eine besondere Betonung legt die Art.29-Gruppe auf das Erfordernis der Benennung eines unabhängigen Ombudsmannes.
Sollten die Bedenken nicht gehört werden, kündigt die Art.29-Gruppe an, weitere Schritte, explizit die gerichtliche Überprüfung der Angemessenheitsentscheidung, zu unternehmen.
Das Arbeitspapier mit weiteren Erläuterungen kann in englischer Sprache unter folgendem Link eingesehen werden: https://t.co/4wCuQ8tfAa
Wir werden die Entwicklung weiter im Auge behalten und berichten.
DGSVO als Blogger - Was haben wir auf unserem Blog umgesetzt?
3. März 2018 @ 11:59
[…] zu sein, wie man hier und da liest. Man liest ebenso Berichte, die das sehr kritisch beurteilen (https://www.datenschutz-notizen.de/ueberraschung-art-29-gruppe-aeussert-bedenken-zum-privacy-shield-…). Und dazu kommt noch so ein US-Präsident. Wenn der auf die wahnsinnige Idee kommt, das Abkommen […]
Manuel Schmöllerl
13. Februar 2018 @ 10:24
Für mich ist das keine Überraschung. Das war doch nur eine Frage der Zeit, bis das Privacy Shield in Frage gestellt wird.