EU-Bericht: Privacy Shield funktioniert, hat aber Verbesserungsbedarf

Privacy Shield (Bild: EU)

Der Nachfolger für das Safe-Harbour-Abkommen gilt seit 1. August 2016. Nun liegt der erste der versprochenen Jahresberichte vor. Der wichtigste Prüfstein folgt aber 2018: Dann muss sich zeigen, ob das Abkommen auch nach den Anforderungen der DSGVO funktioniert.

Die EU-Kommission hat den ersten, jährlichen Prüfbericht zu Privacy Shield vorgelegt. Diese Jahresberichte sind Teil des 2016 in aller Eile getroffenen Abkommens zum Datenaustausch zwischen EU und USA. Das war notwendig geworden, weil im Oktober 2015 der EUGH den Vorgänger, das Safe-Harbour-Abkommen, gekippt hatte.

Privacy Shield (Bild: EU)

Unsere erste Überprüfung zeigt, dass der Datenschutzschild gut funktioniert, seine Handhabung aber noch verbessert werden kann. Der Datenschutzschild ist kein Papiertiger, sondern eine lebendige Vereinbarung, das sowohl die EU als auch die USA aktiv begleiten müssen, um unsere hohen Datenschutzstandards aufrecht zu erhalten”, fasst Věra Jourová, die unter anderem für Justiz und Verbraucher zuständige EU-Kommissarin, in einer Pressemitteilung zusammen.

Mit den jährlichen Berichten zu Privacy Shield will die EU sicherstellen, dass das Abkommen nicht verwässert wird und auch unter geänderten Rahmenbedingungen einen angemessenen Schutz für die Übertragung und Verarbeitung personenbezogener Daten bietet. Der diesjährige Bericht basiert auf einem Treffen der EU-Vertreter mit allen relevanten US-Behörden in Washington Mitte September. Außerdem sind Hinweise von Firmen und diversen Organisationen eingeflossen und wurden Stellungnahmen von Datenschutzbehörden der EU-Mitgliedsstaaten berücksichtigt.

Privacy Shield bietet noch ein angemessenes Schutzniveau

Dem Bericht zufolge bietet Privacy Shield immer noch ein angemessenes Schutzniveau für die Übertragung personenbezogener Daten zu teilnehmenden US-Firmen. Auch der Zertifizierungsprozess in den USA funktioniere gut: Bislang seien über 2400 Firmen vom U.S. Department of Commerce zertifiziert worden. Zudem hätten die U.S. Behörden gut Fortschritte beim Aufbau der Strukturen und Abläufe gemacht, die erforderlich sind, damit Privacy Shield funktioniert und EU-Bürger die vereinbarten Möglichkeiten der Rechtshilfe in Anspruch nehmen können.

Außerdem seien Prozesse für die Behandlung von Beschwerden eingerichtet und die Zusammenarbeit mit europäischen Datenschutzbehörden aufgenommen worden. Allerdings bleiben in Bezug auf den Zugriff auf Daten durch US-Behörden im Interesse der nationalen Sicherheit bestimmte Schutzklauseln in Kraft.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

In dem aktuellen EU-Bericht werden aber auch einige Verbesserungen angeregt. Dazu gehört der Wunsch der EU, dass das US-Wirtschaftsministerium von sich aus strenger überprüft, ob US-Firmen die an Privacy Shield teilnehmen, die daraus erwachsenden Verpflichtungen auch erfüllen. Außerdem wird das US-Ministerium aufgefordert, selbständig und regelmäßig zu überprüfen, ob alle Firmen, behaupten, an Privacy Shield teilzunehmen, das auch tatsächlich tun. Außerdem sollten EU-Verbraucher besser darüber aufgeklärt werden, wie sie ihre Rechte wahrnehmen können und wie sie insbesondere Beschwerden anbringen können.

Zudem fordert die EU eine bessere Zusammenarbeit der beteiligten US-Behörden mit den europäischen Datenschutzbehörden. Sie sorgt sich zudem darum, wie der Datenschutz für EU-Bürger sichergestellt werden kann, wenn tatsächlich, wie derzeit diskutiert, Sektion 702 des Foreign Intelligence Surveillance Act (FISA) über den 31.12.2017 hinaus verlängert wird. Die EU mahnt zudem an, dass die Stelle des Privacy Shield Ombudsmannes sowie die freien Sitze im Privacy and Civil Liberties Oversight Board (PCLOB https://www.pclob.gov/) sobald wie möglich besetzt werden sollten.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Die Europäische Kommission hat das Datenaustauschabkommen Privacy Shield im Juli 2016 formal angenommen (PDF). Seitdem gibt es wieder einen rechtlichen Rahmen für den Datenaustausch zwischen den USA und den Mitgliedsstaaten der EU. Im Oktober 2015 hatte der EuGH das frühere Datenschutzabkommen”Safe Harbour für unzulässig erklärt.

2018 als wahrer Prüfstein für Privacy Shield

Das neue Abkommen soll ein hohes Schutzniveau für EU-Bürger und Rechtssicherheit für Unternehmen bieten. Es unterscheidet sich von Safe Harbour vor allem darin, dass es die Unternehmen, die Daten verarbeiteten, stärker in die Pflicht nimmt. Außerdem soll damit sichergestellt werden, dass die Vorschriften auch tatsächlich eingehalten und durchgesetzt werden. Der Datenzugriff von Behörden unterliegt mit Privacy Shield klaren Beschränkungen, außerdem wurden dafür Garantien und Aufsichtsmechanismen eingeführt.

Nach Ansicht der „Artikel 29 Datenschutzgruppe“ schafft aber auch die Privacy Shield keine langfristige Rechtssicherheit. Eine abschließende Aussage will die Gruppe erst 2018 treffen, wenn die Übergangsfrist für die DSGVO endete. Privacy Shield muss dann auch den neuen, höheren Anforderungen genügen.

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.