Navigation path

Left navigation

Additional tools

Other available languages: EN FR

Europäische Kommission - Factsheet

Erste jährliche Überprüfung der Funktionsweise des EU-US-Datenschutzschilds

Brüssel, 18. Oktober 2017

Die Europäische Kommission hat heute ihren ersten Bericht zur jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds vorgelegt. Der Datenschutzschild soll personenbezogene Daten schützen, wenn diese zu gewerblichen Zwecken an Unternehmen in den USA übermittelt werden.

IP/17/3966

Was ist der Datenschutzschild?

Beim Datenschutzschild handelt es sich um eine Vereinbarung zum Schutz personenbezogener Daten von EU-Einwohnern, wenn diese Daten zu kommerziellen Zwecken in die USA übermittelt werden.

Die Vereinbarung enthält Verpflichtungen für US-Unternehmen, die personenbezogene Daten aus der EU erhalten, und für staatliche Stellen, die aus Gründen der nationalen Sicherheit oder der Strafverfolgung um Zugang zu diesen Daten ersuchen.

Ferner haben in der EU ansässige natürliche Personen ein Beschwerderecht, wenn sie der Auffassung sind, dass ihre Daten nicht angemessen geschützt werden.

Der Datenschutzschild wird jährlich erneuert, um einen angemessenen Datenschutz aufrechtzuerhalten und seine korrekte Einhaltung zu überprüfen.

Wie hat die Kommission den Jahresbericht zum Datenschutzschild ausgearbeitet?

Im Vorfeld ihres Berichts haben die Kommissionsdienststellen Informationen und Rückmeldungen zur Funktionsweise der Rahmenvereinbarung zum Datenschutzschild eingeholt und dabei alle einschlägigen Interessenträger konsultiert:

– die zertifizierten Unternehmen (über ihre jeweiligen Branchenverbände) und

– auf dem Gebiet der Grundrechte und insbesondere der digitalen Rechte und des Schutzes der Privatsphäre tätige Nichtregierungs-Organisationen (NRO).

Ferner wurden die mit der Anwendung der Rahmenvereinbarung befassten US-Behörden konsultiert.

Die erste gemeinsame jährliche Überprüfung fand am 18./19. September 2017 in Washington statt. Sie wurde von Věra Jourová, dem für Justiz, Verbraucher und Gleichberechtigung der Geschlechter zuständigen Kommissionsmitglied, und US-Handels-Staatssekretär Wilbur Ross eröffnet. Für die EU nahmen Vertreter der Generaldirektion Justiz und Verbraucher der EU-Kommission teil. Ferner gehörten der EU-Delegation acht von der Datenschutzgruppe nach Artikel 29 (dem beratenden Gremium der Datenschutzbehörden der Mitgliedstaaten und des Europäischen Datenschutzbeauftragten) benannte Vertreter an.

Auf Seiten der USA nahmen Vertreter des Handelsministeriums (Department of Commerce, DoC), der Wettbewerbsbehörde (Federal Trade Commission, FTC), des Verkehrsministeriums, des Außenministeriums, dem Amt des Nachrichtendienstkoordinators (Director of National Intelligence) sowie die geschäftsführende Ombudsperson des Datenschutzschilds, ein Mitglied des Privacy and Civil Liberties Oversight Board (PCLOB) und Vertreter des Amtes des Generalinspekteurs der Nachrichtendienste teil. Ferner gaben Vertreter von unabhängigen Schlichtungsorganisationen des Datenschutzschilds mit, nämlich die das Schiedsgericht zum Datenschutzschild verwaltende American Arbitration Association und einige beim Datenschutzschild zertifizierte Unternehmen Rückmeldungen zur jährlichen Überprüfung.

Darüber hinaus wurden öffentlich erhältliche Informationen wie Gerichtsentscheidungen, Durchführungsvorschriften und -verfahren der zuständigen US-Behörden, Berichte und Studien von NRO, von zertifizierten Unternehmen veröffentlichte Transparenzberichte sowie Presseartikel und andere Medienberichte verwendet.

Welche Neuerungen hat der Datenschutzschild durch die US-Behörden seit seinem Inkrafttreten erfahren?

Die USA haben seit letztem Jahr u. a. folgende Neuerungen eingeführt:

  • das Handelsministerium hat ein Verfahren für die Entgegennahme und Prüfung von Zertifizierungsanträgen von Unternehmen eingeführt und ausgestaltet.
  • Ferner hat es Fragebögen ausgearbeitet, mit denen laufend kontrolliert wird, ob die Unternehmen ihre Pflichten gemäß dem Datenschutzschild tatsächlich einhalten (die Unternehmen müssen binnen 30 Tagen antworten). 
  • Das Handelsministerium und die Federal Trade Commission haben in Zusammenarbeit mit den EU-Datenschutzbehörden Instrumente für eine reibungslose Zusammenarbeit der Durchsetzungsbehörden auf beiden Seiten des Atlantiks eingerichtet. Dazu zählen Standardformulare für die Befassung des Handelsministeriums mit Unternehmen, bei denen eine Datenschutzbehörde den Verdacht von Verstößen gegen den Datenschutzschild hegt. Zudem hat das Ministerium die Kontaktstelle für von den Datenschutzbehörden überwiesene Fälle benannt.
  • Das US-Außenministerium hat Maßnahmen ergriffen, mit denen sichergestellt werden soll, dass die Ombudsperson des Datenschutzschilds (die Beschwerden betreffend den Zugriff von US-Behörden auf personenbezogene Daten aus Gründen der nationalen Sicherheit bearbeitet) uneingeschränkt arbeitsfähig und zur Entgegennahme und Bearbeitung von Beschwerden bereit ist. Insbesondere hat es eine Online-Plattform für die Ombudsperson und ein elektronisches Formular für die Entgegennahme von Beschwerden aus der EU erstellt. Ferner hat es Verfahrensregeln für die Prüfung von Beschwerden durch die Ombudsperson erlassen.

Was sind die wichtigsten Empfehlungen der Kommission an die US-Behörden?

Auf gewerblichem Gebiet hat die Kommission Folgendes empfohlen:

  • Unternehmen sollten sich nicht in der Öffentlichkeit als gemäß dem Datenschutzschild zertifiziert bezeichnen, bevor das Handelsministerium das Zertifizierungsverfahren abgeschlossen hat,
  • das US-Handelsministerium sollte regelmäßig nach Unternehmen fahnden, die falsche Angaben über ihre Mitwirkung am Datenschutzschild machen,
  • das US-Handelsministerium sollte regelmäßig prüfen, ob der Datenschutzschild eingehalten wird,
  • das Handelsministerium und die Datenschutzbehörden sollten bei der Ausarbeitung von Leitfäden zur rechtlichen Auslegung bestimmter Begriffe des Datenschutzschilds (wie den Grundsatz der Verantwortlichkeit für die Weitergabe oder „Personaldaten“) zusammenarbeiten,
  • das Handelsministerium und die EU-Datenschutzbehörden sollten ihre Sensibilisierungsbemühungen intensivieren (Aufklärung der natürlichen Personen über ihre Rechte aufgrund des Datenschutzschilds).

In Bezug auf die nationale Sicherheit hat die Kommission Folgendes empfohlen:

  • der in der Presidential Policy Directive 28 („PPD-28“) vorgesehene Schutz für Personen außerhalb der USA könnte im Gesetz über die Auslandsaufklärung (Foreign Intelligence Surveillance Act) verankert werden,
  • eine ständige Ombudsperson des Datenschutzschilds sollte rasch benannt und die freien Sitze im Privacy and Civil Liberties Oversight Board (PCLOB) rasch besetzt werden,
  • der Bericht des PCLOB über die Anwendung der PPD-28 sollte für die Öffentlichkeit freigegeben werden.

In Bezug auf beide Bereiche fordert die Kommission die US-Behörden ferner auf, ihrer Zusage, über jegliche Entwicklung, die Fragen im Zusammenhang mit der Funktionsweise des Datenschutzschilds aufwerfen könnte, rechtzeitig und umfassend zu informieren, zeitiger nachzukommen.

Wie kann man sich über ein Unternehmen beschweren, das am Datenschutzschild teilnimmt?

Der Datenschutzschild bietet eine Reihe von Möglichkeiten, um Ihnen zu helfen, eine Beschwerde gegen ein US Unternehmen einzureichen, wenn Sie der Meinung sind, dass es Ihre personenbezogenen Daten nicht korrekt verwendet oder dass es gegen die Vorschriften verstößt. Eine Beschwerde ist bei einer der nachstehenden Stellen einzureichen:

  • dem Unternehmen selbst,
  • einer unabhängigen Stelle für alternative Streitbeilegung,
  • einer nationalen Datenschutzbehörde.
  • dem US-Handelsministerium,
  • der Federal Trade Commission der USA.

Wird Ihre Beschwerde mittels dieser Rechtsschutzinstrumente nicht gelöst oder sind Sie mit der Art und Weise der Bearbeitung Ihrer Beschwerde nicht einverstanden, können Sie Ihren Fall der eigens eingerichteten Schiedsstelle, dem Privacy Shield Arbitration Panel (auch: Datenschutzpanel), vorlegen.

Dem Leitfaden der Europäischen Kommission zum EU-US-Datenschutzschild können ausführlichere Angaben zu den verschiedenen Beschwerdeverfahren entnommen werden.

Welche Rechtsvorschriften der USA sind für die Einhaltung des Datenschutzschilds besonders wichtig, und warum?

Die Presidential Policy Directive 28 (PPD-28) und das Gesetz über die Auslandsaufklärung (Foreign Intelligence Surveillance Act, FISA) sind im Zusammenhang mit dem Datenschutzschild von besonderer Bedeutung.

Die PPD-28 enthält Einschränkungen und Garantien, die für die Sammlung und Nutzung personenbezogener Daten durch staatliche Stellen für Zwecke der nationalen Sicherheit gelten. Sie wurde 2014 von Präsident Obama eigens zu dem Zweck erlassen, auch die Privatsphäre von Personen außerhalb der USA zu schützen. Die PPD-28 schreibt unter anderem angemessene Garantien für die personenbezogenen Informationen aller Privatpersonen unabhängig von ihrer Nationalität oder ihres Wohnorts vor. Ferner wird dort bestimmt, dass ein Datenzugriff so zweckgebunden und zielgerichtet wie möglich zu erfolgen hat. Während der jährlichen Überprüfung haben die US-Behörden ausdrücklich bestätigt, dass die derzeitige Regierung keine Änderungen an der PPD-28 vornimmt.

Das Gesetz über die Auslandsaufklärung FISA ist eine der wichtigsten Rechtsgrundlagen für den Zugriff von US-Behörden auf personenbezogene Daten von Europäern, die aus der EU an gemäß dem Datenschutzschild zertifizierte Unternehmen in den USA übermittelt wurden: § 702 des FISA genehmigt die Sammlung von Auslandsaufklärungsdaten durch die gezielte Überwachung von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten aufhalten, wobei amerikanische Anbieter elektronischer Kommunikationsdienste zur Unterstützung verpflichtet sind. Gleichzeitig sind in § 702 eine Reihe von Bedingungen und Einschränkungen vorgesehen, die eine gezielte Datenerhebung gewährleisten sollen.

Wie viele Suchanfragen von Überwachungsbehörden haben die am Datenschutzschild teilnehmenden Unternehmen erhalten?

Eine Reihe von gemäß dem Datenschutzschild zertifizierten Unternehmen veröffentlicht Transparenzberichte, in denen (in einer Bandbreite von 500) angegeben wird, wie viele Anfragen zur Freigabe von Kommunikationsdaten während des Berichtszeitraums eingingen. Microsoft beispielsweise erhielt zwischen Januar und Juni 2016 zwischen 0 und 499 auf das FISA gestützte Anfragen, die zwischen 12 000 und 12 499 Nutzerkonten betrafen. Facebook erhielt im gleichen Zeitraum zwischen 500 und 999 Anfragen zu zwischen 13 000 und 13 499 Nutzerkonten, Google zwischen 500 und 999 Anfragen zu zwischen 25 000 und 25 499 Nutzerkonten. Diese Zahlen veranschaulichen, dass die Anzahl der von behördlichen Datenzugriffen betroffenen Nutzerkonnten im Verhältnis zur Gesamtzahl der Nutzerkonten (bei Facebook beispielsweise über 2 Mrd. aktive Nutzerkonten) gering ist.

 

MEMO/17/3967

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar