Die Art.-29-Datenschutzgruppe (WP29) veröffentlichte Mitte April 2016 zwei Dokumente zur draft adequacy decision (Adäquanzerklärung/Angemessenheitsbeschluss) der EU-Kommission zum EU-U.S. Privacy Shield: (a) „Opinion 01/2016 on the EU-U.S. Privacy Shield draft adequacy decision“ sowie (b) „Statement of the article 29 working party on the opinion on the EU-U.S. Privacy Shield“.
Die Kernaussagen der WP29 lassen sich wie folgt zusammenfassen:
(i) Im Vergleich zum U.S.-EU Safe Harbor Framework bewirke die EU-U.S. Privacy Shield Regelung grundsätzlich wesentliche Verbesserungen.
(ii) Die EU-U.S. Privacy Shield Regelung setze sich aus zahlreichen Dokumenten zusammen, weswegen sie unübersichtlich sei; die darin vorgesehenen Prinzipien sowie Garantien seien folglich schwer auffindbar und zum Teil widersprüchlich.
(iii) Umfang und Terminologie der EU-U.S. Privacy Shield Regelung müssen mit der Datenschutzgesetzgebung der EU in Übereinstimmung gebracht werden.
(iv) Die EU-U.S. Privacy Shield Regelung müsse 2018, d.h. mit dem Inkrafttreten der EU Datenschutz-Grundverordnung, einer Überprüfung unterzogen werden.
(v) Gewisse datenschutzrechtliche Grundprinzipien der EU seien in der EU-U.S. Privacy Shield Regelung nicht bzw. nicht ausreichend umgesetzt worden. Die WP29 erwähnt in diesem Zusammenhang die (a) Zweckbindung, die (b) Dauer der Aufbewahrung bzw. Löschung von Personendaten sowie (c) „den Schutz vor allein auf einer automatisierten Verarbeitung beruhenden Entscheidung“.
(vi) Die neuen Beschwerdemöglichkeiten könnten für EU-Staatsangehörige zu komplex und damit wirkungslos sein; die diesbezüglichen Verfahren müssen verständlicher dargelegt werden.
(vii) Die Schaffung einer Ombudsstelle für Beschwerden gegen Zugriffe durch Nachrichtendienste werde grundsätzlich begrüsst. Die WP29 äussert jedoch Zweifel an der Unabhängigkeit sowie der Wirksamkeit dieser Ombudsstelle.
(viii) Aufgrund der offengelegten Angaben könne die Möglichkeit eines unverhältnismässigen Zugriffs durch US-Behörden auf aus der EU bekanntgegebene Personendaten weiterhin nicht bzw. nicht vollständig ausgeschlossen werden. Die Voraussetzungen für einen solchen Zugriff müssen klarer geregelt werden.
(ix) Im Ergebnis fordert die WP29 die EU-Kommission auf, den oben genannten Bedenken zur EU-U.S. Privacy Shield Regelung Rechnung zu tragen und die verlangten Klärungen bzw. Nachbesserungen sicherzustellen.
Michal Cichocki
Die Kernaussagen der WP29 lassen sich wie folgt zusammenfassen:
(i) Im Vergleich zum U.S.-EU Safe Harbor Framework bewirke die EU-U.S. Privacy Shield Regelung grundsätzlich wesentliche Verbesserungen.
(ii) Die EU-U.S. Privacy Shield Regelung setze sich aus zahlreichen Dokumenten zusammen, weswegen sie unübersichtlich sei; die darin vorgesehenen Prinzipien sowie Garantien seien folglich schwer auffindbar und zum Teil widersprüchlich.
(iii) Umfang und Terminologie der EU-U.S. Privacy Shield Regelung müssen mit der Datenschutzgesetzgebung der EU in Übereinstimmung gebracht werden.
(iv) Die EU-U.S. Privacy Shield Regelung müsse 2018, d.h. mit dem Inkrafttreten der EU Datenschutz-Grundverordnung, einer Überprüfung unterzogen werden.
(v) Gewisse datenschutzrechtliche Grundprinzipien der EU seien in der EU-U.S. Privacy Shield Regelung nicht bzw. nicht ausreichend umgesetzt worden. Die WP29 erwähnt in diesem Zusammenhang die (a) Zweckbindung, die (b) Dauer der Aufbewahrung bzw. Löschung von Personendaten sowie (c) „den Schutz vor allein auf einer automatisierten Verarbeitung beruhenden Entscheidung“.
(vi) Die neuen Beschwerdemöglichkeiten könnten für EU-Staatsangehörige zu komplex und damit wirkungslos sein; die diesbezüglichen Verfahren müssen verständlicher dargelegt werden.
(vii) Die Schaffung einer Ombudsstelle für Beschwerden gegen Zugriffe durch Nachrichtendienste werde grundsätzlich begrüsst. Die WP29 äussert jedoch Zweifel an der Unabhängigkeit sowie der Wirksamkeit dieser Ombudsstelle.
(viii) Aufgrund der offengelegten Angaben könne die Möglichkeit eines unverhältnismässigen Zugriffs durch US-Behörden auf aus der EU bekanntgegebene Personendaten weiterhin nicht bzw. nicht vollständig ausgeschlossen werden. Die Voraussetzungen für einen solchen Zugriff müssen klarer geregelt werden.
(ix) Im Ergebnis fordert die WP29 die EU-Kommission auf, den oben genannten Bedenken zur EU-U.S. Privacy Shield Regelung Rechnung zu tragen und die verlangten Klärungen bzw. Nachbesserungen sicherzustellen.
Michal Cichocki