Navigation path

Left navigation

Additional tools

Other available languages: EN FR

Europäische Kommission - Factsheet

EU-US-Datenschutzschild: Häufig gestellte Fragen

Brüssel, 29. Februar 2016

Was verbirgt sich hinter dem EU-US-Datenschutzschild?

Nach zweijährigen Verhandlungen haben die Europäische Kommission und das US-amerikanische Handelsministerium am 2. Februar 2016 eine politische Einigung über einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken erzielt: Ergebnis ist der EU-US-Datenschutzschild (IP/16/216). Dieser neue Rahmen gewährleistet den Schutz der Grundrechte der europäischen Bürgerinnen und Bürger bei der Übermittlung von Daten in die USA und schafft Rechtssicherheit für die Unternehmen.

Mit dem EU-US-Datenschutzschild werden die Forderungen des Gerichtshofs der Europäischen Union erfüllt, der in seinem Urteil vom 6. Oktober 2015 die zuvor geltende Safe-Harbor-Regelung für ungültig erklärt hatte.

Nach der neuen Regelung unterliegen Unternehmen in den USA strengeren Auflagen zum Schutz der personenbezogenen Daten europäischer Bürgerinnen und Bürger. Außerdem sind das US-Handelsministerium und die Federal Trade Commission (FTC) zu intensiveren Kontroll- und Durchsetzungsmaßnahmen verpflichtet, einschließlich einer verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden. Im Rahmen der neuen Regelung wurden schriftliche Zusicherungen gemacht, in denen sich die USA verpflichten, ihren Behörden den Zugriff auf nach der neuen Regelung übermittelte personenbezogene Daten aus Gründen der nationalen Sicherheit nur unter klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang zu ermöglichen, so dass ein allgemeiner Zugriff nicht möglich ist. Mit in diesem Zusammenhang eingehenden Beschwerden und Anfragen von EU-Bürgern wird sich die neu eingerichtete Ombudsstelle befassen, die entsprechende Lösungen ausarbeiten wird.

Was ist ein Angemessenheitsbeschluss?

„Angemessenheitsbeschlüsse“ werden von der Europäischen Kommission gefasst. Diese stellt darin fest, ob ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Maß an Schutz personenbezogener Daten gewährleistet.

Ein solcher Beschluss hat zur Folge, dass personenbezogene Daten aus den 28 EU-Mitgliedstaaten (und den drei EWR-Mitgliedern Norwegen, Liechtenstein und Island) ohne weitere Beschränkungen in das betreffende Drittland fließen können.

Der EU-US-Datenschutzschild gewährleistet ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten an die Vereinigten Staaten. Er enthält Datenschutzgrundsätze, die für die Unternehmen verbindlich sind, und schafft Verpflichtungen hinsichtlich der Art der Durchsetzung der Regelung (u. a. schriftliche Zusicherungen und Zusagen des amerikanischen Außenministers John Kerry, der US-Handelsministerin Penny Pritzker, der Federal Trade Commission (FTC) und des Büros des Direktors der nationalen Nachrichtendienste).

Was sind die wichtigsten Unterschiede zwischen der alten „Safe Harbour"-Regelung und dem neuen EU-US-Datenschutzschild?

Der EU-US-Datenschutzschild trägt sowohl den Empfehlungen der Kommission vom November 2013 als auch den Forderungen Rechnung, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015, mit dem er die alte Safe-Harbor-Regelung für ungültig erklärt hatte, formulierte.

Nach der neuen Regelung unterliegen Unternehmen in den USA strengeren Auflagen zum Schutz der personenbezogenen Daten von EU-Bürgern. Das US-Handelsministerium und die Federal Trade Commission sind zu intensiveren Kontroll- und Durchsetzungsmaßnahmen – einschließlich einer verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden – verpflichtet.

Die neue Regelung enthält Zusicherungen und Zusagen der USA, die sich dazu verpflichten, ihren Behörden im Rahmen des amerikanischen Rechts einen Zugriff auf personenbezogene Daten, die nach der neuen Regelung übermittelt werden, nur unter klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang zu ermöglichen, so dass ein allgemeiner Zugriff nicht möglich ist. Mit Beschwerden und Anfragen von Bürgerinnen und Bürgern der EU, die einen möglichen Zugriff durch die nationalen Nachrichtendienste betreffen, wird sich die neu eingerichtete Ombudsstelle befassen und entsprechende Lösungen ausarbeiten.

Die neue Regelung umfasst folgende Elemente:

  • Strenge Auflagen für Unternehmen und konsequente Durchsetzung: Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen ihren Pflichten nachkommen, einschließlich der Möglichkeit von Sanktionen oder eines Ausschlusses im Falle von Verstößen gegen die Regeln. Die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an andere Partner ist jetzt an strengere Bedingungen geknüpft.
  • Klare Schutzvorkehrungen und Transparenzpflichten bei Zugriff durch die US-Regierung: Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen unterworfen wird. US-Außenminister John Kerry hat zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Einzelpersonen nachgehen und ihnen mitteilen, ob die einschlägigen Gesetze beachtet wurden. Alle schriftlichen Zusicherungen werden im US-Bundesregister veröffentlicht.
  • Wirksamer Schutz der Rechte von EU-Bürgern durch mehrere Möglichkeiten des Rechtsbehelfs: Unternehmen müssen innerhalb von 45 Tagen eine Lösung für Beschwerden finden. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die zusammen mit dem US-Handelsministerium und der Federal Trade Commission dafür sorgen, dass Beschwerden, für die keine Lösung gefunden wurde, nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein durchsetzbares Schiedsverfahren. Die Unternehmen können sich auch dazu verpflichten, den Empfehlungen europäischer Datenschutzbehörden nachzukommen. Für Unternehmen, die Personaldaten verarbeiten, ist dies Pflicht.
  • Gemeinsame jährliche Überprüfung: Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Europäische Kommission und das US-Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird auch andere Informationsquellen – wie Transparenzberichte von Unternehmen über den Umfang der von Behörden angeforderten Daten – heranziehen. Sie wird einmal pro Jahr interessierte NRO und sonstige Interessenträger zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern. Die Kommission wird auf der Grundlage der jährlichen Überprüfung einen an das Europäische Parlament und den Rat gerichteten öffentlichen Bericht vorlegen.

Wie werden die Anforderungen des EuGH-Urteils erfüllt?

  • Regelmäßige Überprüfung der Angemessenheitsbeschlüsse

Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich unterworfen haben.

Die EU und die USA haben vereinbart, einen neuen Mechanismus zur Überwachung der Funktionsweise der Regelung in Form einer jährlichen gemeinsamen Überprüfung einzurichten.

Diese soll die eingegangenen Verpflichtungen untermauern helfen und wird von der Kommission und dem Handelsministerium durchgeführt. Die gemeinsame Überprüfung, an der gegebenenfalls auch Vertreter der US-Nachrichtendienste beteiligt wären, ist ein dynamischer, fortlaufender Prozess, der gewährleisten soll, dass der Datenschutzschild im Einklang mit den vereinbarten Grundsätzen und Verpflichtungen funktioniert.

Die Vereinigten Staaten haben sich zu einer strengeren Aufsicht durch das Handelsministerium und einer engeren Zusammenarbeit zwischen den europäischen Datenschutzbehörden und der Federal Trade Commission verpflichtet. Dadurch wird aus einem System der reinen Selbstregulierung ein Aufsichtssystem, das flexiblere Reaktionen und ein proaktives Vorgehen ermöglicht.

Das Handelsministerium überwacht kontinuierlich, ob die Unternehmen sich an die Grundsätze des Datenschutzschilds halten, und verschickt zu diesem Zweck u. a. detaillierte Fragebögen. Überprüfungen finden statt, wenn dem Handelsministerium konkrete Beschwerden vorliegen, wenn ein Unternehmen keine zufriedenstellende Antworten liefert oder wenn glaubwürdige Indizien dafür vorliegen, dass ein Unternehmen sich möglicherweise nicht an die Grundsätze des Datenschutzschilds hält. Halten Unternehmen die Regeln in der Praxis nicht ein, müssen sie mit Sanktionen und der Streichung von der Liste rechnen.

  • Beschränkungen des Zugangs zu personenbezogenen Daten für Zwecke der nationalen Sicherheit

Die US-amerikanischen Behörden haben Schutzvorkehrungen getroffen, Beschränkungen festgelegt und ein Aufsichtssystem geschaffen, um jeden Datenzugriff der Behörden aus Gründen der nationalen Sicherheit zu regeln. Die USA haben bekräftigt, dass es keine unterschiedslose Massenüberwachung geben wird. Für Beschwerden, die den möglichen Datenzugriff nationaler Nachrichtendienste betreffen, wird eine von den Nachrichtendiensten unabhängige Ombudsstelle eingerichtet.

  • Bearbeitung und Abhilfe für alle Einzelbeschwerden

Es wird verschiedene Möglichkeiten für den Umgang mit Beschwerden geben, beginnend mit der Streitbeilegung durch die Unternehmen und kostenlosen Alternativen zur Lösung von Konflikten. Die Bürger können sich auch an die Datenschutzbehörden wenden, die zusammen mit dem US-Handelsministerium und der Federal Trade Commission dafür sorgen werden, dass Beschwerden von Bürgerinnen und Bürgern der EU nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Für Rechtsschutzbegehren von EU-Bürgern, die den Bereich der nationalen Sicherheit betreffen, ist eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig.

Wie wird der Datenschutzschild konkret funktionieren?

Amerikanische Unternehmen werden sich im Hinblick auf die Aufnahme in die Datenschutzschild-Liste registrieren lassen und mittels einer Selbstzertifizierung bestätigen, dass sie die festgelegten Anforderungen erfüllen. Dieses Verfahren erfolgt jährlich.

Das US-Handelsministerium hat die Aufgabe, zu überwachen und aktiv zu prüfen, ob die Unternehmen im Einklang mit den einschlägigen Grundsätzen des Datenschutzschilds problemlos einsehbare Datenschutzbestimmungen vorlegen.

Die USA haben sich verpflichtet, die Liste der Mitglieder des Datenschutzschilds stets auf dem neuesten Stand zu halten und Unternehmen, die nicht mehr teilnehmen, zu streichen. Das Handelsministerium wird sicherstellen, dass Unternehmen, die nicht mehr Mitglied des Datenschutzschilds sind, dessen Grundsätze bei der Verarbeitung personenbezogener Daten, die sie noch als Mitglied der Regelung erhalten haben, weiterhin anwenden, solange sie die entsprechenden Daten speichern.

Wie können europäische Bürgerinnen und Bürger in den USA Rechtsmittel geltend machen, wenn gewerbliche Unternehmen ihre Daten missbräuchlich verwenden?

Sind Bürgerinnen und Bürger der Auffassung, dass ihre Daten missbräuchlich verwendet werden, stehen ihnen im Rahmen der neuen Regelung mehrere Möglichkeiten offen:

  • Einreichung einer Beschwerde bei dem betroffenen Unternehmen: Die Unternehmen verpflichten sich dazu, Beschwerden innerhalb von 45 Tagen zu bearbeiten. Darüber hinaus müssen sich alle Unternehmen, die mit Personaldaten von Europäern arbeiten, dazu verpflichten, Empfehlungen der zuständigen EU-Datenschutzbehörde nachzukommen; andere Unternehmen können eine solche Verpflichtung freiwillig eingehen. Die Kommission ermutigt Unternehmen dazu, dies zu tun.
  • Beschwerde bei der „eigenen“ Datenschutzbehörde: Die Datenschutzbehörde leitet die Beschwerde an das US-Handelsministerium, das diese binnen 90 Tagen bearbeitet, oder – falls das Handelsministerium nicht in der Lage ist, die Angelegenheit zu klären – an die Federal Trade Commission weiter.
  • Rückgriff auf die alternative Streitbeilegung: Diese ist ein kostenloses Verfahren, zu dem sich US-amerikanische Unternehmen verpflichten müssen, wenn sie die Zertifizierung für den Datenschutzschild erhalten wollen. Die Unternehmen müssen in ihre veröffentlichten Datenschutzbestimmungen Informationen über die unabhängige Streitbeilegungsstelle aufnehmen, an die Verbraucher sich mit ihren Beschwerden richten können. Sie müssen ferner einen Link zur Website der gewählten Stelle für die alternative Streitbeilegung zur Verfügung stellen; das US-Handelsministerium wird prüfen, ob die Unternehmen diese Verpflichtung umsetzen.
  • Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Privatpersonen können sich an das Datenschutzschild-Panel wenden, das sich mit der Streitbeilegung befasst und dessen Entscheidungen für selbstzertifizierte US-Unternehmen verbindlich sind. Das Panel sorgt dafür, dass jede einzelne Beschwerde behandelt wird und Einzelpersonen ihre Rechte geltend machen können.

Was hat sich in den USA seit den Enthüllungen von Edward Snowden geändert?

Die amerikanische Regierung und der Kongress haben nach den Enthüllungen von Edward Snowden umfassende Reformen des Aufsichtssystems eingeleitet.

Im Januar 2014 hat Präsident Obama die Presidential Policy Directive 28 (PPD-28) unterzeichnet, mit der nachrichtendienstliche Operationen erheblichen Beschränkungen unterworfen werden und in der festgelegt ist, dass die Erfassung von Daten durch Nachrichtendienste zielgerichtet sein sollte. Zudem wird die Sammelerhebung von Daten durch die PPD-28 auf sechs nationale Sicherheitszwecke (Aufdeckung und Abwehr von Bedrohungen durch Spionage, Terrorismus, Massenvernichtungswaffen, Gefahren für die Streitkräfte, grenzüberschreitende kriminelle Bedrohungen) beschränkt, um die Privatsphäre aller Personen, einschließlich Nicht-US-Bürgern, besser zu schützen.

Seit 2015 ist die Sammelerhebung von Daten auch durch den USA Freedom Act beschränkt; Unternehmen können Transparenzberichte über die ungefähre Anzahl der staatlichen Anträge auf Datenzugriff veröffentlichen.

Die Kommission wird die künftigen Berichte des “Privacy and Civil Liberties Oversight Board”, die sich mit der Umsetzung der PPD-28 sowie der Überarbeitung von Section 702 des FISC-Programms zur Überwachung der Auslandsgeheimdienste befassen werden und im Jahr 2017 fällig sind, mit großem Interesse lesen.

Welche Garantien gibt es hinsichtlich des durch Zwecke der nationalen Sicherheit begründeten Zugriffs auf in die USA übermittelte Daten ?

Die USA haben der EU zum ersten Mal schriftliche, im US-Bundesregister zu veröffentlichende Zusicherungen gemacht, dass der Datenzugriff von Behörden für Zwecke der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird. Die USA haben eine unterschiedslose Massenüberwachung der im Rahmen der neuen Regelung an die USA übermittelten personenbezogenen Daten ausgeschlossen. Um regelmäßig zu kontrollieren, wie gut die Regelung funktioniert und ob die Verpflichtungen eingehalten werden, wird es eine jährliche gemeinsame Überprüfung geben, bei der auch die Frage des Zugriffs für Zwecke der nationalen Sicherheit thematisiert wird. Die Europäische Kommission und das US-Handelsministerium werden diese Überprüfung durchführen und Sachverständige der US-Nachrichtendienste und der Europäischen Datenschutzbehörden hinzuziehen.

Welche Aufgaben hat die Ombudsstelle?

Die Ombudsstelle wurde mit der Regelung für den Datenschutzschild eingeführt. Sie ist unabhängig von den US-Nachrichtendiensten und bearbeitet Rechtsschutzbegehren von Bürgerinnen und Bürgern der EU, die den Bereich der nationalen Sicherheit betreffen.

Die Ombudsstelle befasst sich mit Einzelbeschwerden europäischer Bürger, die befürchten, dass ihre personenbezogenen Informationen von US-Behörden im Bereich der nationalen Sicherheit auf unrechtmäßige Weise verwendet werden. Die Stelle unterrichtet den Beschwerdeführer darüber, ob die Angelegenheit ordnungsgemäß untersucht, ob das US-Recht eingehalten oder im Fall der Nichteinhaltung Abhilfe geschaffen wurde.

Welche Rolle spielt der „Judicial Redress Act“?

Der „Judicial Redress Act“ wurde von Präsident Obama am 24. Februar unterzeichnet. Sobald dieses Gesetz in Kraft getreten ist, haben EU-Bürger Zugang zu US-Gerichten, um Datenschutzrechte im Zusammenhang mit personenbezogenen Daten, die zu Strafverfolgungszwecken an die USA übermittelt wurden, geltend zu machen. Durch den Judicial Redress Act erhalten EU-Bürger die gleichen Rechte, die Bürger und Einwohner der USA seit dem Privacy Act aus dem Jahr 1974 genießen. Dies ist eine seit langem erhobene Forderung der EU.

Worum handelt es sich beim EU-US-Datenschutz-Rahmenabkommen („Umbrella Agreement“)?

Das „Umbrella Agreement“ schafft auf hoher Ebene einen umfassenden Datenschutzrahmen für die Zusammenarbeit zwischen der EU und den USA bei der Strafverfolgung. Das Rahmenabkommen gilt für alle personenbezogenen Daten (z. B. Namen, Adressen, Strafregisterauszüge), die zwischen der EU und den USA zum Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich terroristischer Tätigkeiten, ausgetauscht werden.

Das Rahmenabkommen selbst bietet keine Rechtsgrundlage für die Übertragung von Daten und es ist auch kein Angemessenheitsbeschluss. Es bietet Schutzklauseln und Garantien für die Rechtmäßigkeit der Datenübertragung im Rahmen verschiedener Abkommen. Dadurch wird gewährleistet, dass Grundrechte uneingeschränkt geachtet werden, wird die Zusammenarbeit bei der Strafverfolgung zwischen der EU und den USA erleichtert und neues Vertrauen geschaffen.

Mit der Unterzeichnung des „Judicial Redress Act“ durch Präsident Obama am 24. Februar wurde die Gleichbehandlung der Bürgerinnen und Bürger der EU beschlossen: Sie werden bei Verletzungen der Privatsphäre dieselben Rechte auf Rechtsbehelf haben wie Bürger der Vereinigten Staaten. Präsident Juncker hat in seinen politischen Leitlinien diesen Punkt angesprochen: „Die Vereinigten Staaten müssen auch garantieren, dass alle EU-Bürgerinnen und -Bürger das Recht haben, ihre Datenschutzrechte bei US-Gerichten einzuklagen, und zwar unabhängig davon, ob sie auf amerikanischem Boden wohnen. Dies ist unerlässlich, damit in den transatlantischen Beziehungen wieder Vertrauen entstehen kann.“

Weitere Informationen

Siehe IP/16/433

 

MEMO/16/434

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar