von EU-Bürgerinnen und Bürgern der Verwendung der geltenden Standardvertragsklauseln entgegenstehen, könnten
diese als geeignete Garantien wegfallen. Das hätte massive
Auswirkungen für Datenübermittlungen in die USA, aber
voraussichtlich auch für Übermittlungen in andere Drittstaaten. Nach der mündlichen Verhandlung im Schrems
II-Verfahren ist auch nicht ausgeschlossen, dass der EuGH
zugleich über die Wirksamkeit des Privacy Shield entscheidet. Denn an die Feststellungen, die die Europäische
Kommission im Privacy Shield zum US-Recht getroffen hat,
könnten die Datenschutzbehörden auch bei einer Entscheidung über die Rechtmäßigkeit von Übermittlungen gebunden sein, die auf Standardvertragsklauseln beruhen. Sie
dürften keine Maßnahmen treffen, so deutete der EuGH in
der mündlichen Verhandlung an, die im Widerspruch zu
den Feststellungen der Kommission stehen.
Der EuGH hat angekündigt in der ersten Jahreshälfte
2020 seine Entscheidung zu treffen. Ein erster Anhaltspunkt, wie das Gericht entscheiden könnte, ist der
Schlussantrag des Generalanwalts vom 19. Dezember
2019. Darin empfiehlt der Generalanwalt, dass die
Standardvertragsklauseln weiterhin gültig bleiben
sollen. Diese böten als Transferinstrument ausreichende Schutzmaßnahmen für personenbezogene Daten.
Unternehmen seien dennoch angehalten die Übermittlung von Daten in Drittstaaten auszusetzen, wenn das
Recht des Drittstaates die Erfüllung der vertraglichen
Pflichten unmöglich macht. Die Datenschutzbehörden
wären dann außerdem verpflichtet solche Übermittlungen zu untersagen.
Die Frage, ob das Privacy Shield rechtmäßig ist, muss
aus Sicht des Generalanwalts in diesem Verfahren nicht
entschieden werden. Für den Fall, dass der EuGH abweichend von seiner Empfehlung auch hierzu eine Entscheidung treffen will, erklärte er jedoch vorsorglich seine
Zweifel an der Rechtmäßigkeit des Übereinkommens.
8.1.3 Entwicklungen beim EU-US Privacy Shield
Das EU-US Datenschutzabkommen Privacy Shield wird inzwischen besser durch die US-Administration umgesetzt.
Gleichwohl gibt es immer noch wesentliche Kritikpunkte.
Das „EU-US Privacy Shield“ (Privacy Shield) wurde im
Berichtszeitraum einer weiteren gemeinsamen Überprüfung unterzogen, an der einer meiner Mitarbeiter als
Teil der EDSA-Delegation mitgewirkt hat. Dabei konnten
auch positive Entwicklungen auf US-Seite konstatiert
werden. So ist das wichtige Aufsichtsgremium Privacy
and Civil Liberties Oversight Board wieder voll besetzt.
Dieses Gremium berät den Präsidenten und die Exekutive zum Schutz von Bürgerrechten bei Maßnahmen
der Terrorabwehr und hat zur Erfüllung der Aufgabe
weitgehende Einsichtsrechte. Daneben wurde eine neue
Ombudsperson, die sich Beschwerden von europäischen
Bürgerinnen und Bürgern über den Zugriff von U.S.-Sicherheitsbehörden auf ihre personenbezogenen Daten
annehmen soll, für das Privacy Shield benannt.
Diesen ersten Schritten zu einer besseren Aufsicht über
die Sicherheitsbehörden in den USA müssen aus Sicht
des EDSA allerdings weitere Schritte folgen. So hat der
EDSA das Privacy and Civil Liberties Oversight Board
aufgefordert, ihm weitere Berichte über den Zugriff
von US-Sicherheitsbehörden auf personenbezogene
Daten von europäischen Bürgerinnen und Bürgern zur
Verfügung zu stellen. Zudem fehlt es weiterhin an Nachprüfungen durch die US-Behörden, ob die nach dem
Privacy Shield zertifizierten US-Unternehmen dessen
Vorgaben tatsächlich befolgen.
Auch die Frage, ob die Ombudsperson tatsächlich
einen wirksamen Rechtsschutz im Sinne von Art. 47
der EU-Grundrechtecharta gewährleisten kann, ist
weiterhin offen und liegt dem Europäischen Gerichtshof im Rahmen des sogenannten Schrems II-Verfahrens (vgl. Nr. 8.1.2) zur Klärung vor.
Dieses und die beim Europäischen Gericht anhängigen
Verfahren gegen das Privacy Shield werden verdeutlichen,
welche Rahmenbedingungen die EU-Grundrechtecharta
für den transatlantischen Datenverkehr setzt.
Querverweis:
8.1.2 Schrems II
8.2 Das Onlinezugangsgesetz
Die Bundesregierung arbeitet intensiv an der Umsetzung des Onlinezugangsgesetzes (OZG). Dessen
Umsetzungskatalog umfasst derzeit 575 Verwaltungsdienstleistungen, die bis Ende 2022 von Bund, Ländern
und Kommunen vollständig digital angeboten werden
sollen.
Wie bereits in meinem 27. Tätigkeitsbericht (Nr. 9.2.2)
dargestellt, sollen Bürgerinnen und Bürger sowie Unternehmen bei einem Verwaltungsportal ihrer Wahl Zugang
zu den online angebotenen Verwaltungsdienstleistungen
erhalten, ohne sich dazu mehr als einmal identifizieren zu müssen (Once-Only-Prinzip). Wichtig ist für die
Nutzung, in welcher Form sie sich bei den Nutzerkonten
identifizieren können. Dies richtet sich nach dem jeweiligen Schutzniveau der Verwaltungsdienstleistung. Die
eIDAS-Verordnung der Europäischen Union unterscheidet die drei Vertrauensniveaus „niedrig“, „substanziell“
und „hoch“. Online angeboten werden bisher Verwaltungsdienstleistungen für die Schutzniveaus „niedrig“
(Registrierung anhand Benutzername und Passwort)
und „hoch“ (Registrierung anhand der Online-Funktion
Tätigkeitsbericht zum Datenschutz für 2019
61