Navigation path

Left navigation

Additional tools

Other available languages: EN FR

Europäische Kommission - Factsheet

EU-US-Datenschutzschild: Häufig gestellte Fragen

Brüssel, 12. Juli 2016

Die Europäische Kommission hat heute den EU-US-Datenschutzschild angenommen.

Was verbirgt sich hinter dem EU-US-Datenschutzschild?

Nach zweieinhalbjährigen Verhandlungen haben die Europäische Kommission und das US-amerikanische Handelsministerium am 2. Februar 2016 eine Einigung über einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken erzielt. Das Ergebnis ist der EU-US-Datenschutzschild (IP/16/216). Dieser neue Rahmen gewährleistet den Schutz der Grundrechte der Bürgerinnen und Bürger bei der Übermittlung von Daten in die USA und schafft Rechtssicherheit für die Unternehmen. Nachdem die Mitgliedstaaten am 8. Juli ihre Zustimmung gegeben haben (Ausschuss nach Artikel 31), hat das Kollegium der Kommissionsmitglieder den Datenschutzschild am 12. Juli 2016 förmlich angenommen.

Mit dem EU-US-Datenschutzschild werden die Forderungen des Gerichtshofs der Europäischen Union erfüllt, der in seinem Urteil vom 6. Oktober 2015 die zuvor geltende Safe-Harbor-Regelung für ungültig erklärt hatte.

Nach der neuen Regelung unterliegen Unternehmen in den USA strengeren Auflagen zum Schutz der personenbezogenen Daten der Bürgerinnen und Bürger. Außerdem sind das US-Handelsministerium und die Federal Trade Commission (FTC) zu intensiveren Kontroll- und Durchsetzungsmaßnahmen verpflichtet, einschließlich einer verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden. Im Rahmen der neuen Regelung haben die USA schriftlich zugesichert, ihren Behörden den Zugriff auf nach der neuen Regelung übermittelte personenbezogene Daten aus Gründen der nationalen Sicherheit nur unter klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang zu ermöglichen. Ein allgemeiner Zugriff wird nicht möglich sein. Mit in diesem Zusammenhang eingehenden Beschwerden und Anfragen von EU-Bürgern wird sich die neu eingerichtete Ombudsstelle befassen, die entsprechende Lösungen ausarbeiten wird.

Was ist ein Angemessenheitsbeschluss?

„Angemessenheitsbeschlüsse“ werden von der Europäischen Kommission gefasst. Diese stellt darin fest, ob ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Maß an Schutz personenbezogener Daten gewährleistet.

Ein solcher Beschluss hat zur Folge, dass personenbezogene Daten aus den 28 EU-Mitgliedstaaten (und den drei EWR-Mitgliedern Norwegen, Liechtenstein und Island) ohne weitere Beschränkungen in das betreffende Drittland fließen können.

Der EU-US-Datenschutzschild gewährleistet ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten an die Vereinigten Staaten. Er enthält Datenschutzgrundsätze, die für die Unternehmen verbindlich sind, und schafft Verpflichtungen hinsichtlich der Art der Durchsetzung der Regelung (u. a. schriftliche Zusicherungen und Zusagen des amerikanischen Außenministers John Kerry, der US-Handelsministerin Penny Pritzker, der Federal Trade Commission (FTC) und des Büros des Direktors der nationalen Nachrichtendienste). 

Was leistet der neue EU-US-Datenschutzschild?

Der EU-US-Datenschutzschild trägt sowohl den Empfehlungen der Kommission vom November 2013 als auch den Forderungen Rechnung, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015, mit dem er die alte Safe-Harbor-Regelung für ungültig erklärt hatte, formulierte.

Die neue Regelung umfasst folgende Elemente:

o Strenge Auflagen für Unternehmen, die Daten verarbeiten

  • Das US-Handelsministerium überprüft regelmäßig, ob die teilnehmenden Unternehmen die geltenden Datenschutzvorschriften einhalten.
  • Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich unterworfen haben. Halten Unternehmen diese Regeln in der Praxis nicht ein, müssen sie mit Sanktionen und der Streichung von der Datenschutzschild-Liste rechnen.
  • Strengere Bedingungen für die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an Dritte. Die Verpflichtung zur Gewährleistung des „gleichen Schutzniveaus“ wurde während des Annahmeverfahrens präzisiert und enthält nun die Verpflichtung für die betroffenen Dritten, das am Datenschutzschild teilnehmende Unternehmen zu informieren, wenn sie nicht mehr in der Lage sind, ein angemessenes Datenschutzniveau zu garantieren, so dass das teilnehmende Unternehmen geeignete Maßnahmen ergreifen kann.
  • Die bestehende Beschränkung der Vorratsdatenspeicherung wurde expliziter formuliert. Ein Unternehmen darf personenbezogene Daten nur so lange speichern, wie mit dem ursprünglichen Erhebungszweck vereinbar ist.

Klare Grenzen und Schutzvorkehrungen beim Datenzugriff durch US-Behörden

  • Vom Büro des Direktors der nationalen Nachrichtendienste (im Weißen Haus) gibt es überzeugende schriftliche Zusicherungen, die eine unterschiedslose Massenüberwachung der im Rahmen der Datenschutzschild-Vereinbarung transferierten Daten ausschließen.
  • Im Laufe des Annahmeverfahrens hat das Büro des Direktors der nationalen Nachrichtendienste in einem zusätzlichen Dokument präzisiert, unter welchen spezifischen Voraussetzungen eine Sammelerhebung von Daten zulässig ist und dass diese so zielgerichtet wie möglich erfolgen muss, indem insbesondere Filter angewendet werden und die Erhebung nicht relevanter Daten eingeschränkt wird. Ferner werden die für die Nutzung dieser Daten geltenden Schutzvorkehrungen erläutert. Mit dem neuen Dokument wird erneut eine unterschiedslose Massenüberwachung durch die USA ausgeschlossen.
  • US-Außenminister John Kerry hat zugesagt, eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Bürgern aus der EU nachgehen, die den Datenzugriff durch nationale Sicherheitsbehörden betreffen, und ihnen mitteilen, ob die einschlägigen Gesetze eingehalten wurden bzw., im Falle der Nichteinhaltung, ob das Problem behoben wurde.
  • Um zu gewährleisten, dass die Regelung auch funktioniert, wird es eine jährliche gemeinsame Überprüfung geben, bei der auch die Frage des Zugriffs durch nationale Behörden thematisiert wird. Die Europäische Kommission und das US-amerikanische Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Der Datenschutzschild ist nicht in Stein gemeißelt. Er wird regelmäßig überprüft, um sicherzustellen, dass er gut funktioniert. Sollte der Datenschutzschild kein angemessenes Datenschutzniveau mehr gewährleisten, wird die Europäische Kommission geeignete Maßnahmen ergreifen und ihren Angemessenheitsbeschluss gegebenenfalls aussetzen.

Wirksamer Schutz der Rechte der EU-Bürger

Ist ein EU-Bürger der Auffassung, dass seine Daten im Rahmen des Datenschutzschilds missbraucht wurden, stehen ihm mehrere Möglichkeiten der Streitbeilegung offen, von denen er leicht und ohne große Kosten Gebrauch machen kann.

  • Idealerweise wird sich das Unternehmen, wie die Erfahrungen zeigen, selbst um die Beschwerde kümmern und das Problem lösen.
  • Am Datenschutzschild teilnehmende Unternehmen können sich für kostenlose alternative Streitbeilegungsverfahren oder dafür entscheiden, sich freiwillig der Kontrolle durch die EU-Datenschutzbehörden zu unterstellen.
  • In jedem Fall können sich die Bürger auch an die Datenschutzbehörden der EU wenden, die über das US-Handelsministerium und/oder die Federal Trade Commission dafür sorgen werden, dass Beschwerden von Bürgerinnen und Bürgern der EU nachgegangen und abgeholfen wird. Diese Fälle sollten innerhalb einer angemessenen Zeit geregelt werden: Wenn sich eine Datenschutzbehörde in einem Fall an die USA wendet, muss das Handelsministerium innerhalb einer bestimmten Frist reagieren. Die Federal Trade Commission hat sich verpflichtet, Beschwerden von Einzelpersonen vorrangig zu behandeln.
  • Kann ein Fall auch auf diese Weise nicht gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren.
  • Im Bereich der nationalen Sicherheit ist für Rechtsschutzbegehren von Personen, deren Daten in die Vereinigten Staaten übermittelt wurden, eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig. Während des Annahmeverfahrens wurden die Arbeitsweise und die Unabhängigkeit der Ombudsstelle präzisiert und insbesondere festgelegt, wie sie mit anderen unabhängigen Aufsichtsstellen mit Ermittlungsbefugnissen zusammenarbeitet.

Wie wird der Datenschutzschild konkret funktionieren?

US-amerikanische Unternehmen werden sich im Hinblick auf die Aufnahme in die Datenschutzschild-Liste registrieren lassen und mittels Selbstzertifizierung bestätigen, dass sie die in der Regelung festgelegten hohen Datenschutzstandards erfüllen. Sie müssen ihre Registrierung jedes Jahr verlängern lassen.

Das US-Handelsministerium wird überwachen und aktiv prüfen, ob die Unternehmen über problemlos einsehbare Datenschutzbestimmungen verfügen, die mit den einschlägigen Grundsätzen des Datenschutzschilds in Einklang stehen.

Die USA haben sich verpflichtet, die Liste der Mitglieder des Datenschutzschilds stets auf dem neuesten Stand zu halten und Unternehmen, die nicht mehr teilnehmen, zu streichen. Das Handelsministerium wird sicherstellen, dass Unternehmen, die nicht mehr Mitglied des Datenschutzschilds sind, dessen Grundsätze bei der Verarbeitung personenbezogener Daten, die sie noch als Mitglied der Regelung erhalten haben, weiterhin anwenden, solange sie diese Daten speichern. 

Wie können Einzelpersonen in den USA Rechtsmittel geltend machen, wenn gewerbliche Unternehmen ihre Daten missbräuchlich verwenden?

Sind Einzelpersonen der Auffassung, dass ihre Daten missbräuchlich verwendet werden, stehen ihnen im Rahmen der neuen Regelung mehrere Möglichkeiten offen:

  • Einreichung einer Beschwerde bei dem betroffenen Unternehmen: Die Unternehmen verpflichten sich dazu, Beschwerden innerhalb von 45 Tagen zu bearbeiten. Darüber hinaus müssen sich alle Unternehmen, die Personaldaten von Europäern verarbeiten, dazu verpflichten, Empfehlungen der zuständigen EU-Datenschutzbehörde nachzukommen; andere Unternehmen können eine solche Verpflichtung freiwillig eingehen. Die Kommission ermutigt Unternehmen dazu, dies zu tun.
  • Beschwerde bei der „eigenen“ Datenschutzbehörde: Die Datenschutzbehörde übermittelt die Beschwerde an das US-Handelsministerium, das diese binnen 90 Tagen bearbeitet, oder – falls das Handelsministerium nicht in der Lage ist, die Angelegenheit zu klären – an die Federal Trade Commission.
  • Rückgriff auf die alternative Streitbeilegung: Dies ist ein kostenloses Verfahren, das US-amerikanische Unternehmen, die am Datenschutzschild teilnehmen wollen, anbieten müssen, wenn sie sich nicht zu einem anderen Rechtsschutzinstrument verpflichten. Die Unternehmen müssen in ihre veröffentlichten Datenschutzbestimmungen Informationen über die unabhängige Streitbeilegungsstelle aufnehmen, an die Verbraucher sich mit ihren Beschwerden richten können. Sie müssen ferner einen Link zur Website der gewählten Stelle für die alternative Streitbeilegung zur Verfügung stellen; das US-Handelsministerium wird prüfen, ob die Unternehmen diese Verpflichtung einhalten.
  • Kann der Fall auch auf diese Weise nicht gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Privatpersonen können sich an das Datenschutzschild-Panel wenden, das sich mit der Streitbeilegung befasst und dessen Entscheidungen für selbstzertifizierte US-Unternehmen verbindlich sind. Das Panel sorgt dafür, dass jede einzelne Beschwerde behandelt wird und Einzelpersonen ihre Rechte geltend machen können. Dabei sollen mehrere „verbraucherfreundliche“ Vorkehrungen (wie die Kostenfreiheit des Verfahrens, die Möglichkeit der Teilnahme per Videokonferenz und die kostenlose Übersetzung und Verdolmetschung) sicherstellen, dass die Bürger nicht davor zurückschrecken, das Panel zu befassen.

Was hat sich in den USA seit den Enthüllungen von Edward Snowden geändert?

Die amerikanische Regierung und der Kongress haben nach den Enthüllungen von Edward Snowden umfassende Reformen ihrer Überwachungstätigkeit eingeleitet.

Im Januar 2014 hat Präsident Obama die Presidential Policy Directive 28 (PPD-28) unterzeichnet, mit der nachrichtendienstliche Operationen erheblichen Beschränkungen unterworfen werden und in der festgelegt ist, dass die Erfassung von Daten durch Nachrichtendienste grundsätzlich zielgerichtet sein sollte. Zudem wird die in Ausnahmefällen mögliche Sammelerhebung von Daten durch die PPD-28 auf sechs nationale Sicherheitszwecke (Aufdeckung und Abwehr von Bedrohungen durch Spionage, Terrorismus, Massenvernichtungswaffen, Gefahren für die Internetsicherheit, für die Streitkräfte, grenzüberschreitende kriminelle Bedrohungen) beschränkt, um die Privatsphäre aller Personen, einschließlich Nicht-US-Bürgern, besser zu schützen.

Seit 2015 ist die Sammelerhebung von Daten auch durch den USA Freedom Act beschränkt; Unternehmen können Transparenzberichte über die ungefähre Anzahl der staatlichen Anträge auf Datenzugriff veröffentlichen.

Die Kommission wird die Situation kontinuierlich beobachten und die künftigen Berichte des “Privacy and Civil Liberties Oversight Board”, die sich mit der Umsetzung der PPD-28 befassen, sowie die 2017 anstehende Überarbeitung von Abschnitt 702 des Foreign Intelligence Surveillance Act zur Überwachung der Auslandsgeheimdienste mit Interesse verfolgen.

Welche Garantien gibt es hinsichtlich des durch Zwecke der nationalen Sicherheit begründeten Zugriffs auf in die USA übermittelte Daten ?

Die USA haben der EU zum ersten Mal schriftliche, im US-Bundesregister zu veröffentlichende Zusicherungen gemacht, dass der Datenzugriff von Behörden für Zwecke der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird. Die USA haben ausdrücklich zugesichert, dass es keine unterschiedslose Massenüberwachung geben wird. Um regelmäßig zu kontrollieren, wie gut die Regelung funktioniert und ob die Verpflichtungen eingehalten werden, wird es eine jährliche gemeinsame Überprüfung geben, bei der auch die Frage des Zugriffs für Zwecke der nationalen Sicherheit thematisiert wird. Die Europäische Kommission und das US-Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen.

Welche Aufgaben hat die Ombudsstelle?

Im Bereich der nationalen Sicherheit ist für Rechtsschutzbegehren von Personen, deren Daten in die Vereinigten Staaten übermittelt wurden, eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig. Dieser neue Schutzmechanismus wurde mit dem Datenschutzschild eingeführt.

Die Ombudsstelle befasst sich mit Einzelbeschwerden von Personen, die befürchten, dass ihre personenbezogenen Informationen von US-Behörden im Bereich der nationalen Sicherheit auf unrechtmäßige Weise verwendet werden. Die Stelle unterrichtet den Beschwerdeführer darüber, ob die Angelegenheit ordnungsgemäß untersucht, ob das US-Recht eingehalten oder im Fall der Nichteinhaltung Abhilfe geschaffen wurde.

Wie werden die Anforderungen des EuGH-Urteils erfüllt?

  • Überwachung und Aufsicht

Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich unterworfen haben. Die Vereinigten Staaten haben sich zu einer strengeren Aufsicht durch das Handelsministerium sowie zu einer engeren Zusammenarbeit zwischen den europäischen Datenschutzbehörden und der Federal Trade Commission verpflichtet. Dadurch wird aus einem System der reinen Selbstregulierung ein Aufsichtssystem, das flexiblere Reaktionen und ein antizipatives Vorgehen ermöglicht.

  • Beschränkungen des Zugriffs auf personenbezogene Daten für Zwecke der nationalen Sicherheit

Die US-amerikanischen Behörden haben Schutzvorkehrungen getroffen, Beschränkungen festgelegt und ein Aufsichtssystem geschaffen, um jeden Datenzugriff der Behörden aus Gründen der nationalen Sicherheit zu regeln. Die USA haben bekräftigt, dass es keine unterschiedslose Massenüberwachung geben wird. Für Beschwerden, die den möglichen Datenzugriff nationaler Nachrichtendienste betreffen, wird eine von den Nachrichtendiensten unabhängige Ombudsstelle eingerichtet.

  • Bearbeitung und Abhilfe für alle Einzelbeschwerden

Es wird verschiedene Möglichkeiten für den Umgang mit Beschwerden geben, beginnend mit der Streitbeilegung durch die am Datenschutzschild teilnehmenden Unternehmen und kostenlosen Verfahren der alternativen Streitbeilegung. Betroffene Personen können sich auch an die Datenschutzbehörden wenden, die zusammen mit dem US-Handelsministerium und der Federal Trade Commission dafür sorgen werden, dass Beschwerden von Bürgerinnen und Bürgern nachgegangen und abgeholfen wird. Kann der Fall auch auf diese Weise nicht gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Für Rechtsschutzbegehren von Einzelpersonen, die den Bereich der nationalen Sicherheit betreffen, ist eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig.

  • Regelmäßige Überprüfung der Angemessenheitsbeschlüsse

Die EU und die USA haben vereinbart, einen neuen Mechanismus zur Überwachung der Funktionsweise des Datenschutzschilds in Form einer jährlichen gemeinsamen Überprüfung einzurichten.

Diese soll die eingegangenen Verpflichtungen untermauern helfen und wird von der Kommission und dem Handelsministerium durchgeführt. Die gemeinsame Überprüfung, an der gegebenenfalls auch Vertreter der US-Nachrichtendienste beteiligt werden können, ist ein dynamischer, fortlaufender Prozess, der gewährleisten soll, dass der Datenschutzschild im Einklang mit den vereinbarten Grundsätzen und Verpflichtungen funktioniert.

Weitere Informationen

IP/16/2461

 

MEMO/16/2462

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar