{"id":1102,"date":"2016-02-02T14:52:34","date_gmt":"2016-02-02T14:52:34","guid":{"rendered":"http:\/\/www.eaid-berlin.de\/?p=1000"},"modified":"2016-02-02T14:52:34","modified_gmt":"2016-02-02T14:52:34","slug":"doch-kein-sicherer-hafen-mit-update-vom-2-2-2016-1715h","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=1102","title":{"rendered":"Doch (k)ein sicherer Hafen? (mit Update vom 2.2.2016, 17:15h)"},"content":{"rendered":"

Bis zum vergangenen Wochenende hielten sich Ger\u00fcchte, dass die Verhandlungen zwischen der Europ\u00e4ischen Kommission und der US-Regierung \u00fcber eine Nachfolgevereinbarung f\u00fcr das vom Europ\u00e4ischen Gerichtshof am 6. Oktober 2015 annullierte<\/a> Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss st\u00fcnden. Inzwischen ist die von den Datenschutzbeh\u00f6rden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene \u201eStillhaltefrist\u201c bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.<\/p>\n

Einen aktuellen Einblick in den Stand der Verhandlungen<\/a> gab EU-Justizkommissarin Vera Jourov\u00e1\u00a0 bei der Sitzung des Ausschusses f\u00fcr b\u00fcrgerliche Freiheitsrechte, Justiz und Inneres\u00a0 des europ\u00e4ischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht\u00a0 auf Datenschutz auch f\u00fcr den Fall zu sichern, dass personenbezogene Daten ins Ausland\u00a0 transferiert werden und zugleich die Voraussetzungen daf\u00fcr zu schaffen, dass die transatlantischen Datenfl\u00fcsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden k\u00f6nnen. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung m\u00fcsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen l\u00e4sst.<\/p>\n

Zur Erinnerung: Kernst\u00fcck des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000<\/a>, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten \u201eSafe Harbour-Prinzipien\u201c bekennen, ein angemessenes Schutzniveau f\u00fcr die in die USA \u00fcbermittelten personenbezogenen Daten garantieren. Der EuGH hat\u00a0 in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta<\/a> garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gew\u00e4hrleistung der Privatsph\u00e4re (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Ma\u00dfstab f\u00fcr die Angemessenheit des Schutzniveaus im Empf\u00e4ngerland bilden.<\/p>\n

Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen f\u00fcr die aus Europa \u00fcbermittelten Daten zu gew\u00e4hrleisten als auch einen diskriminierungsfreien Rechtsschutz f\u00fcr diejenigen\u00a0 Personen garantieren, deren Daten transferiert werden.<\/p>\n

So muss eine rechtlich belastbare Beschr\u00e4nkung der \u00dcberwachungsaktivit\u00e4ten der US-Sicherheitsbeh\u00f6rden erfolgen; eine anlasslose \u00dcberwachung der grenz\u00fcberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-B\u00fcrger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten (\u201eUS persons\u201c) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende \u00dcberwachung w\u00fcrde den Wesensgehalt der Grundrechte verletzen. Ob diese\u00a0 Anforderungen durch die inzwischen erfolgten Gesetzes\u00e4nderungen in den USA (US Freedom-Act<\/a>)\u00a0 erf\u00fcllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschr\u00e4nken sich dessen Regelungen auf die Daten amerikanischer B\u00fcrger.<\/p>\n

Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabh\u00e4ngigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Beh\u00f6rden nachzugehen, scheinen sich die Positionen zwar angen\u00e4hert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten \u00c4nderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC<\/a>). Von einer rechtlichen Gleichstellung der EU-B\u00fcrgerinnen und -B\u00fcrger mit US-B\u00fcrgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschlie\u00dfend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) <\/a>zeigt. So m\u00fcssen EU-B\u00fcrger \u2013 anders als US-Personen \u2013 zun\u00e4chst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endg\u00fcltig gescheitert sind, d\u00fcrfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagem\u00f6glichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschr\u00e4nkt. EU-B\u00fcrger sollen \u2013 anders als US-B\u00fcrger \u2013 weiterhin keine M\u00f6glichkeiten haben, die Rechtm\u00e4\u00dfigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich \u00fcberpr\u00fcfen zu lassen.<\/p>\n

Der JRA garantiert den EU-B\u00fcrgern zudem nicht einmal diese Datenschutzrechte, sondern er erm\u00e4chtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den B\u00fcrgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzur\u00e4umen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Beh\u00f6rden verweigert oder diese erschwert.<\/p>\n

Schlie\u00dflich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete \u00c4nderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Anspr\u00fcche erhalten k\u00f6nnen, die den kommerziellen Datentransfers in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern (\u201ein order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States\u201d). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene \u00c4nderung – dabei, dass die US-Administration dar\u00fcber entscheidet, ob und welche B\u00fcrger Anspruch auf rechtliches Geh\u00f6r bekommen. Ein robuster Grundrechtsschutz sieht anders aus.<\/p>\n

Sollte die Europ\u00e4ische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung f\u00fcr den Datentransfer in die USA treffen, w\u00fcrde sie ein gro\u00dfes Risiko eingehen, dass auch dieser neue Rahmen f\u00fcr die Daten\u00fcbermittlung in die USA\u00a0 die Pr\u00fcfung durch den Europ\u00e4ischen Gerichtshof nicht \u00fcbersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System w\u00fcrde den erforderlichen Grundrechtsschutz der B\u00fcrgerinnen und B\u00fcrger nicht gew\u00e4hrleisten und w\u00e4re letztlich auch nicht im Interesse der europ\u00e4ischen oder amerikanischen Wirtschaft.<\/p>\n

Update (2.2.2016, 17:15h):<\/strong><\/p>\n

Die Europ\u00e4ische Kommission hat auf einer Pressekonferenz in Br\u00fcssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourov\u00e1 soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbeh\u00f6rden. EU-B\u00fcrger bek\u00e4men das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den n\u00e4chsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepr\u00e4sident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine j\u00e4hrliche „Joint Review“, an der auch die Datenschutzbeh\u00f6rden beteiligt w\u00fcrden, soll die Umsetzung der Vereinbarung \u00fcberpr\u00fcft werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[846,928,929,930,5,197,787,758,372,850,761,931,6,3,7,932,933,4,12,17,193,763,15,203,851,141,16,934,192,14,935,8],"tags":[],"class_list":["post-1102","post","type-post","status-publish","format-standard","hentry","category-angemessenes-datenschutzniveau","category-art-47","category-art-7","category-art-8","category-bsi","category-datentransfers-in-drittstaaten","category-datenuebermittlung","category-ep","category-eugh","category-europaeischer-gerichtshof","category-europaeisches-parlament","category-eva-jourova","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-jra","category-judicial-redress-act","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-rechtsschutz","category-risikomanagement","category-safe-harbor","category-safe-harbour","category-ueberwachung","category-unternehmen","category-us-freedom-act","category-usa","category-veranstaltungen","category-vereinigte-staaten-von-amerika","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1102"}],"version-history":[{"count":3,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1102\/revisions"}],"predecessor-version":[{"id":1109,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1102\/revisions\/1109"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}