Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.04.2017

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

EU-US Privacy Shield / Safe Harbor

Was ist unter dem EU-US Privacy Shield (amtliche Übersetzung "der EU-US-Datenschutzschild", im Folgenden: Privacy Shield) zu verstehen?

Die Europäische Kommission (Kommission) hat nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie (95/46/EG) die Befugnis zur Feststellung, dass ein Drittland hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. 2 dieser Richtlinie gewährleistet. Ob ein angemessenes Datenschutzniveau vorliegt, hat Auswirkungen auf die Zulässigkeit von Datenübermittlungen.

Die Kommission und die US-Regierung haben sich nach Verhandlungen auf Rahmenbedingungen geeinigt, die gewährleisten sollen, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Die Kommission sah sich veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen dieses Privacy Shield besteht.

Die Feststellung der Angemessenheit des Datenschutzniveaus durch die Kommission (C(2016) 4176) vom 12. Juli 2016 finden Sie hier:

http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016D1250 (externer Link)

Die Pressemitteilung der Kommission vom 12. Juli 2016 finden Sie hier:

http://europa.eu/rapid/press-release_IP-16-2461_de.htm (externer Link)

Ist der EU-US Privacy Shield für bayerische Behörden überhaupt relevant?

Auch wenn sich Medienberichte zum Privacy Shield durchgängig auf Datenübermittlungen durch Unternehmen beziehen, kann der Privacy Shield auch für bayerische Behörden relevant werden: Etwa wenn sie personenbezogene Daten an Stellen in den USA übermitteln wollen.

Solche Datenübermittlungen durch bayerische öffentliche Stellen in die USA stehen insbesondere im Raum, wenn bayerische Behörden Dienstleister (Datenverarbeiter) mit Sitz in den USA nutzen wollen.

Können bayerische öffentliche Stellen auf der Grundlage des Privacy Shield personenbezogene Daten nun "einfach so" in die USA übermitteln bzw. sie dort verarbeiten lassen?

Nein - der Privacy Shield ändert nichts daran, dass eine bayerische öffentliche Stelle anhand der für sie geltenden Datenschutzbestimmungen prüfen muss, ob die beabsichtigte Datenverarbeitung zulässig ist.

Ausgangspunkt einer Zulässigkeitsprüfung ist nicht der Privacy Shield als solcher, sondern das für die jeweilige Behörde geltende Datenschutzgesetz. Für bayerische öffentliche Stellen ist dies - soweit keine vorrangigen Sonderregeln wie etwa im Sozialgesetzbuch anzuwenden sind - das Bayerische Datenschutzgesetz (BayDSG). Dort finden sich neben den Regelungen zur Auftragsdatenverarbeitung auch Vorschriften zu Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union. Insbesondere in Art. 21 Abs. 2 BayDSG sind Datenübermittlungen (auch) in die USA geregelt.

Im Rahmen der jeweils anzuwendenden Vorschrift spielt dann bei einem Tatbestandsmerkmal "angemessenes Datenschutzniveau" der Privacy Shield eine Rolle. Die Kommission hat in ihrer Entscheidung vom 12. Juli 2016 festgestellt, dass unter den Maßgaben des Privacy Shields ein angemessenes Datenschutzniveau besteht.

Diese Angemessenheitsentscheidung gilt aber nicht grundlegend im Hinblick auf alle Empfänger in den USA, sondern nur im Hinblick auf Unternehmen, die sich den Privacy Shield Regelungen unterwerfen und entsprechend registriert sind, vgl. https://www.privacyshield.gov (externer Link).

Ist der Bayerische Landesbeauftragte für den Datenschutz an die Entscheidung der Kommission gebunden, dass im Rahmen des Privacy Shield ein angemessenes Datenschutzniveau besteht?

Nein - der Landesbeauftragte kann zwar die Entscheidung der Kommission nicht aufheben oder für ungültig erklären, er ist jedoch befugt, bei Eingaben die entsprechenden Datenübermittlungen bayerischer Behörden in die USA zu bewerten, ohne dass er der Einschätzung der Kommission folgen muss.

Dies hat auch der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 6. Oktober 2015 (C-362/14) ausdrücklich betont (dort Rz. 107):

Eine Entscheidung, in der die Kommission feststellt, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet, hindert eine Datenschutzkontrollstelle nicht daran, "die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Datenschutzniveau gewährleisteten."

Urteil des EuGH vom 6. Oktober 2015 (C-362/14) (externer Link)

Der EuGH (Rz. 65) führt weiter aus, dass es Sache des nationalen Gesetzgebers ist, den Datenschutzkontrollstellen ein Klagerecht vor den nationalen Gerichten einzuräumen, damit diese, wenn sie die Zweifel der Kontrollstelle bezüglich der Entscheidung der Kommission teilen, um eine Vorabentscheidung des EuGH über deren Gültigkeit ersuchen.

§ 21 des Gesetzentwurfs der Bundesregierung zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 sieht ein entsprechendes Klagerecht für die Aufsichtsbehörden des Bundes und der Länder vor: Bundestag Drucksache 18/11325 (externer Link) (externer Link)

Gibt es eine europaweit abgestimmte Haltung der Datenschutzaufsichtsbehörden in der EU zum Privacy Shield?

In der unabhängigen Artikel 29-Datenschutzgruppe stimmen sich die Datenschutzaufsichtsbehörden aller Mitgliedstaaten der EU untereinander in Datenschutzfragen ab und beraten hierzu die Kommission.

Diese Arbeitsgruppe beruht auf Artikel 29 der Europäischen Datenschutzrichtlinie (95/46/EG) und ist daher nach diesem Artikel benannt.

Auch wenn die Artikel 29-Datenschutzgruppe Verbesserungen gegenüber Safe Harbor und gegenüber dem bisherigen Entwurf des Privacy Shield anerkennt, so besteht doch weiterhin eine Reihe von Bedenken.

Die Äußerung der Artikel 29-Datenschutzgruppe vom 26. Juli 2016 zum Privacy Shield (auf Englisch) finden Sie hier:

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf (externer Link)

Wird der Europäische Gerichtshof auch zum Privacy Shield Stellung nehmen?

Die irische Datenschutzgruppe Digital Rights Ireland (DRI) hat am 16. September 2016 beim Gericht der Europäischen Union (EuG) Nichtigkeitsklage eingereicht (Aktenzeichen T-670/16 vgl.:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=185146&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=114465 (externer Link)).

Nach Ansicht der DRI ist der Durchführungsbeschluss mit einem offensichtlichen Beurteilungsfehler hinsichtlich des angemessenen Schutzniveaus behaftet. Bislang ist offen, ob die Klage zulässig ist und auch zum Privacy Shield entschieden wird.

Wie hat sich das Europäische Parlament zum Privacy Shield positioniert?

Die Abgeordneten sind in einer am 6. April 2017 mit 306 Stimmen angenommenen Entschließung (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+MOTION+B8-2017-0235+0+DOC+XML+V0//DE&language=de (externer Link)) der Ansicht, dass noch erhebliche Fragen zu bestimmten kommerziellen Aspekten, der nationalen Sicherheit und der Rechtsdurchsetzung im Raum stehen (Punkt 9). Die Kommission müsse bei der jährlichen Überprüfung - die für den Sommer erwartet wird - sicherstellen, dass der Privacy Shield die EU-Vorschriften zum Schutz personenbezogener Daten achtet, so wie sie in der Grundrechtecharta und den neuen Datenschutzregeln festgehalten sind. Die Kommission solle insbesondere genau bewerten, ob die in den Zusicherungen und Klarstellungen der US-Regierung genannten Mechanismen und Garantien wirksam und praxistauglich sind. Die Abgeordneten sind beunruhigt über die jüngsten Enthüllungen von Überwachungsaktivitäten eines US-Dienstleisters sowie von neuen Vorschriften, die es der National Security Agency der USA ermöglichen, große Mengen ohne eine Ermächtigung, eine richterliche Anordnung oder eine Genehmigung des Kongresses erhobener privater Daten an andere Stellen - darunter auch das FBI - weiterzugeben. Bedenken bestehen bezüglich der Unabhängigkeit der Ombudsperson in den USA und das Fehlen eines Schadensersatzanspruchs. Unklar sei, wie der Privacy Shield bei Auftragsverarbeitern angewendet werde.

Und was ist eigentlich mit dem sogenannten "Safe Harbor"-Abkommen?

Der EuGH hat mit seinem Urteil vom 6. Oktober 2015 (C-362/14) die Entscheidung der Europäischen Kommission (2000/ 520/EG) für ungültig erklärt, dass in den USA im Rahmen der Safe Harbor Regelungen ein angemessenes Datenschutzniveau gewährleistet ist.

Es ist daher nicht mehr möglich, sich im Zusammenhang mit Datenübermittlungen in die USA auf Safe Harbor zu berufen.


Weitere Informationen rund um Safe Harbor und den Privacy Shield finden Sie hier: