Datenschutzabkommen

Privacy Shield entspricht laut vzbv nicht dem europäischen Recht

Das geplante Datenschutzabkommen zwischen der EU und den USA genügt nach Ansicht des Verbraucherzentrale Bundesverbands (vzbv) nicht dem europäischem Recht und dürfe in dieser Form nicht verabschiedet werden.

Seit Einzelheiten über das neue Datenschutzabkommen Privacy Shield bekannt sind, wird es auch kritisiert – an der rechtlichen Grundlage soll es hapern. In die gleiche Kerbe schlägt nun auch der vzbv (Verbraucherzentrale Bundesverband). Demnach entspricht das Abkommen nicht dem europäischen Recht.

Analyse und Bewertung

In einer aktuellen Analyse bewertet der vzbv den Entwurf für Privacy Shield. So ist darin beispielsweise zu lesen, dass Privacy Shield nicht auf Gesetzen oder Abkommen basiere, sondern lediglich auf Zusagen in Briefen der US-Administration. Die Dokumente sowie die Verfahren seien undurchsichtig und kompliziert. Eine klare Ordnung der Bestimmungen sei nicht zu erkennen, so der vzbv. Teilweise würden beispielsweise in den Dokumenten der US-Administration unterschiedliche Terminologien für identische Verfahren verwendet (zum Beispiel „independent dispute resolution body“ vs. „independent recourse mechanism“).

Die Mindestanforderungen aus Verbrauchersicht seien aus Sicht des vzbv:

  • Privacy Shield muss im Kern dem europäischen Datenschutzrecht gleichwertig sein. So müssen sich Grundregeln des EU-Datenschutzes wie die Einwilligung in die Datenerhebung und -verarbeitung, die Zweckbindung von Daten oder Datensparsamkeit wiederfinden.
  • Wirksame Überwachungs- und Kontrollmechanismen sind nötig, um Verstöße zu ermitteln und zu ahnden. Unternehmen sollten belegen müssen, dass sie die Prinzipien einhalten, bevor sie auf die Privacy-Shield-Liste aufgenommen werden (Sobald Privacy Shield umgesetzt ist, können sich Unternehmen in den USA selbst zertifizieren und in die „Privacy Shield List“ beim U.S. Department of Commerce eintragen lassen. Dieser Vorgang ist jährlich zu wiederholen. Ein Unternehmen wird von der Liste gestrichen, wenn es die geforderte Datenschutz-Compliance nicht einhält).
  • Verarbeiten zertifizierte Unternehmen Daten in unzulässiger Weise, müssen Verbraucherinnen und Verbraucher ihre Rechte wie das Auskunftsrecht oder das Recht auf Datenlöschung effektiv durchsetzen können. Sie müssen jederzeit vor europäischen Gerichten klagen und Schadenersatz erstreiten können.

Unabhängig von den aktuellen Vorschlägen für das Abkommen bezweifelt der vzbv, dass Privacy Shield angesichts der weiterhin praktizierten anlasslosen Massenüberwachung durch US-Geheimdienste vor dem EuGH Bestand haben wird. Mehrere Akteure haben bereits Klagen angekündigt. Unternehmen und Verbraucher müssten sich dann auf mehrjährige Rechtsunsicherheit einstellen.

„Die EU darf jetzt nichts überhasten und muss dringend mit den USA nachverhandeln. Das Abkommen darf europäisches Datenschutzrecht nicht unterlaufen. Sonst droht Privacy Shield womöglich dasselbe Ende wie der Safe-Harbor-Vereinbarung“, sagt Klaus Müller, Vorstand des vzbv. Der Europäischen Gerichtshofs (EuGH) hatte die Datenschutzvereinbarung Safe Harbor im Oktober 2015 für ungültig erklärt. Im Februar 2016 stellte die EU-Kommission ihre Vorschläge für das Nachfolgeabkommen vor.

Autor: Heidemarie Schuster

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.