Es gibt eine weitere Entwicklung im Hinblick auf das geplante EU-US-Privacy Shield, das das Nachfolgeregelwerk des Safe-Harbor Abkommens darstellen soll. Nunmehr hat nämlich die Art. 29-Datenschutzgruppe die Entwürfe geprüft und hierzu Stellung genommen.
Prüfungsmaßstab
Die Art. 29-Datenschutzgruppe hat sich bei ihrer Prüfung an den Kriterien des EuGH in seiner Safe-Harbor Entscheidung vom 6.10.2015 orientiert, in der der EuGH erklärte, dass ein „angemessenes Datenschutzniveau“ i. S. v. Art. 25 Abs. 6 Datenschutz-Richtlinie (DS-RL) ein Schutzniveau erfordere, das demjenigen in der EU der Sache nach gleichwertig sein müsse. Daher wurden bei der jetzigen Analyse die Regelungen der DS-RL mit denen des EU-US-Privacy Shield verglichen.
und hierbei insb. die in den Art. 7 und 8 GRCh fixierten Grundrechte auf Schutz des Privatlebens und auf Schutz personenbezogener Daten sowie das Grundrecht auf wirksamen Rechtsschutz gem. Art. 47 GRCh, einschließlich der zu diesen Grundrechten ergangenen Rspr. des EuGH, herangezogen. Diese Grundrechte hatte der EuGH im „Schrems-Urteil“ (ZD 2015, 549 m. Anm. Spies) ausdrücklich seiner Bewertung zu Grunde gelegt. Zudem hat die Art. 29-Datenschutzgruppe Art. 8 EMRK, der das Recht auf Achtung des Privat- und Familienlebens gewährleistet, sowie die dazu ergangene Rspr. des EGMR herangezogen.
Ergebnis der Analyse
Die Art. 29-Datenschutzgruppe kam nunmehr zum Ergebnis, dass das Schutzniveau des Entwurfs des EU-US- Privacy Shields zu bemängeln sei.
Insbesondere kritisiert die Gruppe den „massiven und unterschiedslosen“ Charakter der geplanten Beschaffung und Verwendung von Daten zu nachrichtendienstlichen Zwecken. Man müsse davon ausgehen, dass dies in den USA bereits übliche Praxis sei und davon auch personenbezogene Daten der EU-Bürger betroffen seien. Nach wie vor hält die Gruppe dieses Vorgehen für nicht verhältnismäßig nach den EU-Datenschutzgrundsätzen. Der EuGH hatte sich hierzu noch in keinem Urteil geäußert. Allerdings wird ein erläuterndes Urteil noch in diesem Jahr erwartet.
Des Weiteren bezweifelt die Gruppe, dass die Rechtsverfolgung über die in dem EU-US-Privacy Shield geplante Ombudsstelle tatsächlich einen ausreichenden Rechtsschutz für Betroffene im Bereich der nachrichtendienstlichen Datenbeschaffung und -verarbeitung ermöglicht. Insbesondere sei es nach den bisherigen Äußerungen der USA fraglich, ob diese Stelle tatsächlich unabhängig handeln könne und mit genügend Befugnissen ausgestattet sei, um effektive Rechtsverfolgung gegen rechtswidrige Datenverarbeitungen zu nachrichtendienstlichen Zwecken zu gewährleisten.
Darüber hinaus kritisiert die Gruppe auch, dass es keine Verpflichtung für die Privacy Shield-zertifizierten Stellen gebe, empfangene Daten nur so lange zu speichern, wie diese für die Erfüllung des Übermittlungszwecks erforderlich sind. Auch die Zweckbindung der Daten und die Terminologie in dem Entwurf seien nicht deutlich genug formuliert. Letztlich seien auch die geplanten Streitschlichtungsmechanismen so kompliziert gestaltet, dass Betroffene hierdurch abgeschreckt werden könnten und ihre Rechte nicht verfolgten. Zudem fehle eine Einbindung der Datenschutzbehörden der Mitgliedstaaten im Rahmen dieser Streitschlichtungsverfahren.
Letztlich machte die Gruppe deutlich, dass es einiger Nachbesserungen bedürfe.
Weiteres Verfahren
Mittlerweile ist bekannt geworden, dass die Kommission plant, die Angemessenheitsentscheidung, ob der Entwurf des EU-US-Privacy Shields verabschiedet wird, etwa Mitte des Jahres 2016 zu treffen. Vorher werden noch die Vertreter der EU-Mitgliedstaaten angehört. Ob die Kritik der Art. 29-Datenschutzgruppe nun noch für Nachbesserungen führen wird, ist fraglich. Eine Zustimmung der Gruppe ist zur Verabschiedung des Entwurfs nicht erforderlich. Früher oder später wird aber sicherlich der EuGH die Rechtswirksamkeit des EU-US-Privacy Shields prüfen müssen, weshalb der Abschluss eines rechtmäßiges Abkommens daher nun doch zwingend erscheint.
Aktuelle Rechtslage
Die aktuelle Rechtslage bleibt jedoch weiterhin offen. Die Gruppe hat sich in ihrer Stellungnahme nicht explizit zur Rechtmäßigkeit von EU-Standardvertragsklauseln, Binding Corporate Rules (BCRs) oder den Ausnahmetatbeständen des Art. 26 Abs. 1 DS-RL geäußert, sondern nur erklärt, dass diese Instrumente vorläufig für Datentransfers in die USA noch tragfähig seien. Eine abschließende Stellungnahme werde erst nach einem endgültigen Entwurf des EU-US-Privacy Shields vorgenommen.
Es sei jedoch abzuwarten, inwieweit die EU-Kommission noch Änderungen am Entwurf des Privacy Shield vornehme; erst wenn der endgültige Inhalt des Privacy Shield feststehe, werde sich die Art. 29-Datenschutzgruppe mit der Frage befassen, inwieweit personenbezogene Daten weiterhin unter Verwendung anderer Übermittlungsinstrumente in die USA übermittelt werden dürften. In diesem Zusammenhang wird das ebenfalls der Art. 29-Datenschutzgruppe Bedeutung erlangen.
Allerdings hat die Gruppe am 13.4.2016 das Arbeitspapier Nr. 237 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp237_en.pdf) veröffentlicht, in dem sie Kriterien festlegt, die auch für die Übermittlung von personenbezogenen Daten aus der EU in ein Drittland gelten müssen. An diesen Kriterien kann man sich daher zur Zeit orientieren. Hierbei wurde auch der Entwurf des EU-US-Privacy Shields berücksichtigt.
Fazit
Die Rechtslage bleibt weiterhin ungewiss. Allerdings scheinen die Tätigkeiten der Datenschutzbehörden zur Zeit eher „auf Eis“ zu liegen. Dennoch sollten sich Unternehmen langfristig rechtmäßige Lösungen überlegen.