mit dem „EU-US Privacy Shield“ eine neue Rechtsgrundlage für Datenübermittlungen in die USA in Form
eines Angemessenheitsbeschlusses nach Artikel 25 Absatz 6 Datenschutzrichtlinie 95/46/EG zur Verfügung.
Die intensive Begleitung des Verhandlungsprozesses durch die Artikel-29-Gruppe der europäischen Datenschutzaufsichtsbehörden hat dabei zu zahlreichen Verbesserungen geführt. So wurden insbesondere die Regelungen für Übermittlungen an Dritte datenschutzfreundlicher gestaltet und der im europäischen Datenschutzrecht zentrale Begriff der Zweckbindung im EU-US Privacy Shield verankert. An der Erarbeitung der Stellungnahmen der Artikel-29-Gruppe habe ich maßgeblich mitgewirkt.
Der EU-US Privacy Shield enthält in seiner jetzt verabschiedeten Fassung weitere - teils erhebliche - Verbesserungen im Vergleich zur Vorgängerregelung Safe Harbor. So wurde u. a. die Funktion einer Ombudsperson im
US-Außenministerium eingerichtet, über die Beschwerden zu möglichen Überwachungstätigkeiten
US-amerikanischer Geheimdienst- und Sicherheitsbehörden eingereicht werden können.
Ferner sind die - den Vorgaben des EuGH-Urteils folgend - im EU-US-Privacy Shield nicht mehr enthaltenen
Beschränkungen der Befugnisse der völlig unabhängigen europäischen Datenschutzbehörden hervorzuheben.
Aus datenschutzrechtlicher Sicht bleiben dennoch gewichtige Kritikpunkte am EU-US Privacy Shield bestehen.
Hervorzuheben sind insbesondere der Mangel an konkreten Zusagen der US-Regierung im Hinblick auf die
Einschränkung der Massenüberwachung und die Frage, ob die Ombudsperson tatsächlich einen wirksamen
Rechtsschutz im Sinne von Artikel 47 der Charta gewährleisten kann. Hierfür müsste sie von den zu kontrollierenden Stellen unabhängig sein, die Möglichkeit haben, sich aufgrund von eigenständiger Inaugenscheinnahme
von Unterlagen ein eigenes Urteil zu bilden, und über die Fähigkeit verfügen, Abhilfe zu schaffen.
Trotz der fortbestehenden Vorbehalte hat die Artikel-29-Gruppe beschlossen, die Ergebnisse der ersten, jährlich
durchzuführenden Überprüfung des EU-US Privacy Shield durch die Kommission und die US-Regierung im
Jahre 2017 abzuwarten. Die europäischen Datenschutzbehörden streben bei dieser Überprüfung eine aktive
Beteiligung an. Auch ich werde mich dabei in gestaltender Weise einbringen.
Ob die bereits jetzt sichtbaren Maßnahmen auf US-Seite ausreichen, die Bedenken der europäischen Datenschutzbehörden, insbesondere mit Blick auf die Überwachungsmaßnahmen und Rechtsschutzmöglichkeiten, zu
zerstreuen, bleibt also abzuwarten.
Bereits wenige Monate nach Inkrafttreten des EU-US Privacy Shield liegen mehrere Klageverfahren beim Gericht der Europäischen Union (EuG) gegen diese Kommissionsentscheidung vor. Die Verwendung von Standardvertragsklauseln für Datenübermittlung aus der EU in die USA ist gleichfalls Gegenstand gerichtlicher
Überprüfung. Auch diese Verfahren werden weiteren Aufschluss über die Rahmenbedingungen für den transatlantischen Datenverkehr und Datenübermittlungen in andere Drittstaaten geben.
2.2
Umbrella Agreement: Der Schirm ist aufgespannt. Hat er Löcher?
Das sog. Umbrella Agreement ist in Kraft. Die Praxis wird nun zeigen, ob sich die Rechtschutzmöglichkeiten
von EU-Bürgern in den USA im Sicherheitsbereich tatsächlich verbessern.
Nach Jahren der Verhandlungen ist das sog. Umbrella Agreement abgeschlossen worden. Das Abkommen
schafft keine neuen Rechtsgrundlagen, um personenbezogene Daten an Sicherheitsbehörden in den USA zu
übermitteln, sondern verpflichtet die Sicherheitsbehörden der Mitgliedstaaten der Europäischen Union und der
USA dazu, die mit dem Abkommen gesetzten datenschutzrechtlichen Standards im Falle einer Übermittlung
einzuhalten. Unabhängig davon ist für die Übermittlung jeweils eine eigenständige Rechtsgrundlage erforderlich. Mit anderen Worten schafft das Abkommen Rechte für Betroffene und Pflichten für Sicherheitsbehörden,
die fortan stets gelten und nicht mehr zur Diskussion stehen, soweit das Abkommen Anwendung findet. Diese
– 54 –
BfDI 26. Tätigkeitsbericht 2015-2016