Einführung

Die EU-Kommission hat am 19. Dezember 2018 die US-Behörden dazu aufgefordert bis zum 28. Februar 2019 eine ständige Ombudsperson für den Datenschutz zu benennen. Deren Aufgabenbereich soll sich zukünftig auf die Bearbeitung von Beschwerden erstrecken, die sich auf den von US-Behörden vorgenommenen Zugriff auf personenbezogene Daten von EU-Bürgern beziehen. Es handelt sich dabei um solche personenbezogenen Daten, die explizit aufgrund des EU-US-Datenschutzschilds an hieran teilnehmende Unternehmen in den USA übermittelt werden.

Das EU-US-Datenschutzschild und die aktuelle Lage

Am 12. Juli 2016 wurde das EU-US-Datenschutzschild beschlossen, welches am 1. August 2016 in Kraft trat. Das EU-US-Datenschutzschild ist ein vom US-Handelsministerium in Kooperation mit der EU-Kommission eingerichtetes Programm. Primäres Ziel des EU-US-Datenschutzschild ist der Schutz der personenbezogenen Daten von EU-Bürgern und die Sicherstellung von Rechtssicherheit für Unternehmen. Es zeichnet sich durch strenge Datenschutzstandards aus, wodurch einem Missbrauch der Daten von EU-Bürgern vorgebeugt werden soll.

Das Datenschutzschild bildet den Nachfolger des Datenschutzabkommens Safe Harbor, welches  letztlich als rechtlich nicht haltbar eingestuft wurde. Dieses Abkommen war in vielerlei Hinsicht nachteilhaft und somit zukünftig nicht mehr praktikabel. Es galt beispielsweise nur für amerikanische Unternehmen und nicht für Behörden der USA. Einen weiteren, für sein Scheitern letztlich ausschlaggebenden Kritikpunkt bildete die nicht vorhandene Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die  US-Behörden.

Die zweite Überprüfung des EU-US-Datenschutzschilds

Am 18. Oktober 2018 wurde eine erneute Überprüfung des EU-US-Datenschutzschilds vorgenommen. Beteiligt an den Sitzungen im Rahmen der Überprüfung waren die Vertreter aller US-Ministerien, deren Zuständigkeit im Bereich der Durchführung des Datenschutzschilds liegt. Hierunter fallen die Federal Trade Commission, das Office of the Director of National Intelligence, das Justizministerium und das Außenministerium.

Ergebnisse der Überprüfung

Die Umsetzung der erforderlichen Maßnahmen, namentlich der Ausbau der Zertifizierungsverfahren durch das US-Handelsministerium und die daran anknüpfende Intensivierung der Überwachung des datenschutzrechtlichen Rahmens führen zur Möglichkeit einer schnellen Überprüfung, ob die aus dem Datenschutzschild resultierenden Bedingungen tatsächlich eingehalten werden. Die Einführung einer sogenannten Systemkontrolle soll durch ein Zufallsprinzip prüfen, ob die vom Datenschutzschild vorgegebenen Grundsätze auch umgesetzt wurden. Das Datenschutzschild wird von den Teilnehmern der Sitzung als Erfolg eingestuft. Als Grund hierfür ist eindeutig die Zertifizierung großer Konzerne aus der digitalen Wirtschaft anzuführen. Aktuell wurden insgesamt über 3850 Unternehmen zertifiziert. Bei der Aufnahme eines Unternehmens in die Datenschutzschild-Liste ist von der Einhaltung der entsprechenden Datenschutzstandards auszugehen. Ein dauerhaft gleichbleibender Datenschutzstandard wird dabei durch eine jährlich vorzunehmende erneute Zertifizierung sichergestellt. Die zuständige Kommission sieht hierin einen operativen Rahmen, der geeignet ist eine kontinuierliche Verbesserung vorzunehmen und darauf basierend die Funktionsweise des Datenschutzschilds verbessert.

Notwendigkeit der Ernennung einer Ombudsperson

Zur dauerhaften Aufrechterhaltung eines angemessenen Datenschutzniveaus und Gewährleistung eines irgend gearteten Rechtsbehelfs ist die Ernennung einer Ombudsperson die notwendige Konsequenz. Die Ombudsperson soll sich um Beschwerden über den Zugriff von US-Behörden auf personenbezogene Daten kümmern, die aus der EU im Rahmen des Privacy Shields an teilnehmende Unternehmen in den USA übermittelt werden.

Der Kommissionsvizepräsident formulierte klar und deutlich den Wunsch nach der Benennung einer ständigen Ombudsperson bis spätestens 28.02.2019, damit zwischen EU und USA im Datenschutzbereich ein uneingeschränktes Vertrauen zu Recht vorherrschen darf. Im Falle der stetigen Umsetzung der von der EU-Kommission präsentierten Empfehlungen würde ein höheres Datenschutzniveau gewährleistet. Offen formulierte die Kommission, bei Nichtbenennung einer Ombudsperson geeignete Maßnahmen im Einklang mit der Datenschutz-Grundverordnung zu ergreifen.

Arbeitsweise der US-Wettbewerbsbehörde

Die US-Wettbewerbsbehörde („Federal Trade Commission“) nimmt eine Überwachung der Grundsätze des Datenschutzschilds vor und ist berechtigt im Falle von Unklarheiten die am Datenschutzschild partizipierenden Unternehmen vorzuladen und zu befragen.

Bei der Zertifizierung eines US-Unternehmens unter dem EU-US-Datenschutzschild ist das Unternehmen verpflichtet die betroffene Person vor einer geplanten Datenübermittlung in Kenntnis zu setzen und ihr so die freie Wahl im Hinblick auf eine Zustimmung oder Ablehnung selbst zu überlassen.

Zwingende Voraussetzung für den Beitritt zum EU-US-Datenschutzschild ist die Vornahme einer jährlichen neuen Zertifizierung. Zertifizierungen nach Art. 42 DS-GVO werden für eine Höchstdauer von drei Jahren erstellt und können ggf. verlängert werden.

Fazit

Das EU-US-Datenschutzschild soll das Vertrauen der Europäer in einen funktionierenden Datenschutz durch Gewährleistung von absoluter Datensicherheit wiederherstellen. Eine zentrale Rolle spielt hierbei die Ernennung einer ständigen Ombudsperson. 

Allen am EU-US-Datenschutzschild teilnehmenden Unternehmen wird die Einhaltung der erforderlichen Mindeststandards, die Europa im Bereich des Datenschutzes fordert, belegt. Dies erleichtert den Geschäftsverkehr für alle Beteiligten. Die Einholung zusätzlicher Genehmigungen von Unternehmen in den USA ist folglich entbehrlich.

In Anbetracht der zu beobachtenden Entwicklung der digitalen Wirtschaft sollte das EU-US-Datenschutzschild seinen Ruf als funktionierendem Instrument der Datensicherung durch stetige Weiterentwicklung und Durchführung der entsprechenden Maßnahmen gerecht werden.