transatlantischer Datentransfer erneuert
Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den “Sicheren Hafen” soll nun das Abkommen “Pricacy Shield” die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.
Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.
Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte “Privacy Shield Framework” unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.
VERBESSERUNGEN
Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.
Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.
Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.
weiterhin Massen-DatensammEln möglich
Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten “Ombudsperson”, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).
Weiter Kritikpunkte sind:
- der Geltungsbereich bezieht sich nur auf einige Branchen
- Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
- Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend
… Fortsetzung folgt…
Böse Zungen behaupten, dass sich auch bei diesem “Datenschutz”-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…