{"id":689,"date":"2015-09-17T18:21:39","date_gmt":"2015-09-17T18:21:39","guid":{"rendered":"http:\/\/www.eaid-berlin.de\/?p=774"},"modified":"2015-09-17T18:21:39","modified_gmt":"2015-09-17T18:21:39","slug":"loechriger-datenschutz-schirm","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=689","title":{"rendered":"L\u00f6chriger Datenschutz-Schirm"},"content":{"rendered":"

Vor gut einer Woche, am 8. September 2015, gab die Europ\u00e4ische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA \u00fcber ein Datenschutz-Rahmenabkommen („Umbrella Agreement\u201c), das f\u00fcr die Kooperation zwischen Strafverfolgungsbeh\u00f6rden gelten soll. Das Abkommen werde nach seinem Inkrafttreten \u201eein hohes Datenschutzniveau f\u00fcr alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbeh\u00f6rden \u00fcber den Atlantik gesandt werden. Insbesondere wird es\u00a0 garantieren, dass alle EU-B\u00fcrger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, f\u00fchrte die zust\u00e4ndige EU-Justizkommissarin V\u011bra Jourov\u00e1 aus<\/a>. Voraussetzung f\u00fcr die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress m\u00f6glichst bald die erforderlichen Gesetzes\u00e4nderungen (\u201eJudicial Redress Bill<\/a>\u201c) beschlie\u00dfe.<\/p>\n

Obwohl die Kommission den vereinbarten Text zun\u00e4chst nicht ver\u00f6ffentlichen wollte, ist dieser inzwischen\u00a0 \u2013 auf welchen Wegen auch immer \u2013 ins Internet gelangt<\/a> und erm\u00f6glicht so eine Detailpr\u00fcfung, ohne die eine verl\u00e4ssliche Bewertung der Verhandlungsergebnisse nicht m\u00f6glich ist. Ich m\u00f6chte den Leserinnen und Lesern meine Eindr\u00fccke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes\u00a0 gewonnen habe.<\/p>\n

Zun\u00e4chst die gute Nachricht: Das Abkommen enth\u00e4lt in der Tat substantielle Zugest\u00e4ndnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum f\u00fcr m\u00f6glich gehalten wurden. Zu nennen ist in erster Linie, dass\u00a0 EU-B\u00fcrger zuk\u00fcnftig vor US-Gerichten \u00fcberhaupt einklagbare\u00a0 Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung w\u00e4hrend er sich \u00fcber f\u00fcnf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines\u00a0 einklagbaren Rechtsanspruches sollten EU-B\u00fcrgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung einger\u00e4umt werden. Dass eine \u2013 letztlich vom Goodwill der US-Administration abh\u00e4ngige\u00a0 \u2013 Zusicherung kein angemessenes Datenschutzniveau gew\u00e4hrleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsanspr\u00fcche in einem formellen, durch den US-Kongress zu beschlie\u00dfendes Gesetz, gesichert werden sollen.<\/p>\n

Positiv ist auch, dass sich beide Seiten zu den Grunds\u00e4tzen der Verh\u00e4ltnism\u00e4\u00dfigkeit, Erforderlichkeit und Zweckbindung bekennen und dass\u00a0 sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grunds\u00e4tze durch Rechtsvorschriften festzulegen.<\/p>\n

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-B\u00fcrgerinnen und B\u00fcrger nicht die Rede sein kann. Dabei h\u00e4tte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einf\u00fcgen lassen: So h\u00e4tte es gen\u00fcgt, die Regelungen \u2013 etwa des US Privacy Act von 1974<\/a> -, die sich bisher auf US-B\u00fcrger und dort rechtm\u00e4\u00dfig ans\u00e4ssige Ausl\u00e4nder beschr\u00e4nken, auf EU-B\u00fcrger zu erweitern. Stattdessen enth\u00e4lt der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gew\u00e4hrleisten. So m\u00fcssen EU-B\u00fcrger – anders als US-B\u00fcrger – zun\u00e4chst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endg\u00fcltig gescheitert sind, d\u00fcrfen sie ein US-Gericht anrufen. Zudem beschr\u00e4nken sich die in Art. 18 des Abkommens vorgesehenen Klagem\u00f6glichkeiten auf die ausdr\u00fccklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-B\u00fcrger haben \u2013 anders als US-B\u00fcrger – weiterhin keine dar\u00fcber hinausgehenden M\u00f6glichkeiten, die Rechtm\u00e4\u00dfigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich \u00fcberpr\u00fcfen zu lassen.<\/p>\n

Ferner ist darauf hinzuweisen, dass das Abkommen nur f\u00fcr Strafverfolgungs- und Polizeibeh\u00f6rden\u00a0 gelten soll, nicht jedoch f\u00fcr Beh\u00f6rden, die f\u00fcr die Gew\u00e4hrleistung der \u201enationalen Sicherheit\u201c zust\u00e4ndig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Beh\u00f6rden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbeh\u00f6rden teilen. Sollte also der Bundesnachrichtendienst auch zuk\u00fcnftig \u2013 wie in der Vergangenheit in beachtlichem Umfang geschehen \u2013 personenbezogene Daten an US-Dienste \u00fcbermitteln, welche die Informationen an das FBI weitergeben, w\u00e4ren darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bez\u00fcglich solcher Datensammlungen von US Beh\u00f6rden, die auf Basis anderer US-Vorschriften\u00a0 \u2013\u00a0 etwa des Foreign Intelligence Surveillance Act (FISA) –\u00a0 erfolgen.<\/p>\n

Eine weitere Beschr\u00e4nkung soll nicht unerw\u00e4hnt bleiben: W\u00e4hrend nach dem europ\u00e4ischen\u00a0 Datenschutzrecht s\u00e4mtliche personenbezogenen Daten unabh\u00e4ngig von der Nationalit\u00e4t der Betroffenen gesch\u00fctzt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur f\u00fcr Daten \u00fcber EU-B\u00fcrger gelten, die von europ\u00e4ischen Beh\u00f6rden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbeh\u00f6rden \u00fcbermittelt wurden.
\nSchlie\u00dflich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
\ndem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zur\u00fcck: Es fehlt eine ausdr\u00fcckliche Verpflichtung beider Vertragsparteien, f\u00fcr eine unabh\u00e4ngige Datenschutzaufsicht zu sorgen.\u00a0 W\u00e4hrend sich die Europ\u00e4ische Union in dem Abkommen dazu verpflichtet, dass die unabh\u00e4ngigen Datenschutzbeh\u00f6rden die Rechtm\u00e4\u00dfigkeit der Datenverarbeitung \u00fcberpr\u00fcfen k\u00f6nnen, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabh\u00e4ngiger Kontrollinstitutionen, welche die Datenschutzkontrolle \u201ekumulativ\u201c aus\u00fcben sollen.<\/p>\n

Angesichts dieser Defizite erscheint mir der Jubel \u00fcber die Verhandlungsergebnisse verfr\u00fcht.\u00a0 Die europ\u00e4ischen Gremien, die der Ratifizierung des Abkommens zustimmen m\u00fcssen, allen voran das Europ\u00e4ische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gr\u00fcndlich zu pr\u00fcfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen<\/p>\n

Peter Schaar<\/p>\n","protected":false},"excerpt":{"rendered":"

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[755,5,319,756,757,758,143,198,759,760,761,489,6,3,7,762,4,69,12,17,193,763,15,764,749,16,750,765,192,14,8],"tags":[],"class_list":["post-689","post","type-post","status-publish","format-standard","hentry","category-auskunftsrecht","category-bsi","category-cia","category-datenschutzniveau","category-datenschutzrechte","category-ep","category-eu","category-eu-grundrechtecharta","category-europaeische-kommission","category-europaeische-union","category-europaeisches-parlament","category-fisa","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-judicial-redress-bill","category-notfallmanagement","category-nsa","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-rechtsschutz","category-risikomanagement","category-strafverfolgung","category-umbrella-agreement","category-unternehmen","category-us-privacy-act","category-us-kongress","category-usa","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=689"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/689\/revisions"}],"predecessor-version":[{"id":690,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/689\/revisions\/690"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}