Die Art.29-Gruppe nimmt in ihrem am 28.11.2017 veröffentlichten Arbeitspapier 255 („EU-U.S. Privacy Shield – First annual Joint Review“) Stellung zum EU-U.S. Privacy Shield.

Nach der von der Europäischen Kommission am 12.07.2016 angenommenen Angemessenheitsentscheidung zum EU-U.S. Privacy Shield haben acht Vertreter der Art.29-Gruppe Mitte September 2017 unter Führung der EU-Kommission in Washington an der ersten jährlichen Überprüfung des Datenschutzschildes teilgenommen.

Die EU-Kommission hatte das Privacy Shield nach dieser Überprüfung als Erfolg eingestuft (wir berichteten am 26.10.2017). Lediglich kleinere Dinge wären noch zu verbessern.

Wie erwartet, sieht dies die Art.-29-Gruppe anders. Zwar begrüßt sie die Anstrengungen der U.S.-Behörden, einen umfassenden Verfahrensrahmen zur Unterstützung des Privacy Shields bspw. durch Einführung stärkerer Kontrollen von Unternehmen vor ihrer Zertifizierung zu schaffen.

Gleichwohl benennt die Art.29-Gruppe wichtige, jedoch bislang ungelöster Belange wie bspw.

  • Das Fehlen einer Anleitung oder klaren Information bezüglich bspw. der Prinzipien des Datenschutzschildes, weiterer Datenübertragungen sowie Rechte, Ersatzansprüche und Rechtsbehelfe der betroffenen Datensubjekte,
  • Eine stärkere Kontrolle und Supervision im Hinblick auf die Compliance mit den Prinzipien des Datenschutzschildes durch unabhängige, zertifizierte Unternehmen,
  • Die Unterscheidung von Auftragsverarbeitern und Verantwortlichen im Zeitpunkt ihrer Registrierung und bei weiteren Überprüfungen,
  • Das Bestehen weiteren Verbesserungsbedarfs bei der Interpretation und Handhabung von HR-Daten und den Regelungen automatisierter Entscheidungen/ Profiling,
  • Die Verbesserung der Selbstregistrierung (Gewährleistung eines ununterbrochenen Schutzes betroffener Personen und schnellere Compliance mit den Prinzipien des Datenschutzschildes),
  • Die Verbesserung der Zusammenarbeit von U.S.-Behörden untereinander innerhalb des Datenschutzschild-Mechanismus.

Darüber hinaus erinnert die Art.29-Gruppe an die ungelösten Themen (Opinion 1/2016) wie bspw. das Nichtvorhandensein oder die Beschränkung von Rechten betroffener Personen, Definitionen, etc.

Weitere Bedenken bestehen hinsichtlich des Zugangs von U.S.-Behörden zu unter dem Privacy Shield in die USA übertragenen Daten.

Eine besondere Betonung legt die Art.29-Gruppe auf das Erfordernis der Benennung eines unabhängigen Ombudsmannes.

Sollten die Bedenken nicht gehört werden, kündigt die Art.29-Gruppe an, weitere Schritte, explizit die gerichtliche Überprüfung der Angemessenheitsentscheidung, zu unternehmen.

Das Arbeitspapier mit weiteren Erläuterungen kann in englischer Sprache unter folgendem Link eingesehen werden: https://t.co/4wCuQ8tfAa

Wir werden die Entwicklung weiter im Auge behalten und berichten.