Dokumentation

Wie hier berich­tet hat die Euro­päi­sche Kom­mis­si­on am 29. Febru­ar 2016, 27 Tage nach Bekannt­ga­be der poli­ti­schen Eini­gung zwi­schen der EU und der USA, die Doku­men­ta­ti­on zum EU-US Pri­va­cy Shield ver­öf­fent­licht. Die Doku­men­ta­ti­on umfasst neben ande­ren Doku­men­ten ins­be­son­de­re auch die Princi­p­les, die für unter­stell­te Unter­neh­men gel­ten wer­den (> for­ma­tier­tes Doku­ment), Zusa­gen der US-Regie­rung (des Depart­ment of Com­mer­ce, des Aussen­mi­ni­sters (Secreta­ry of Sta­te) John Ker­ry, der Federal Tra­de Com­mis­si­on (FTC), des Secreta­ry of Trans­por­ta­ti­on, des Direc­tor of Natio­nal Intel­li­gence und dem US Depart­ment of Justi­ce (DOJ)) und den Ent­wurf der Ange­mes­sen­heits­er­klä­rung (Ade­qua­cy Deci­si­on) der Kom­mis­si­on.

Durchsetzung und Administration des Privacy-Shield-Programms

Die Admi­ni­stra­ti­on des Pri­va­cy Shield (PS) auf Sei­ten der USA liegt beim Depart­ment of Com­mer­ce, das u.a. die Ein­hal­tung der Princi­p­les durch die unter­stell­ten Unter­neh­men über­wa­chen (wobei das eigent­li­che Enforce­ment bei der FTC liegt) und die Liste der unter­stell­ten Unter­neh­men (“Pri­va­cy Shield List”) pfle­gen wird. Das Depart­ment wird dazu von Amts wegen Unter­su­chun­gen bei den betrof­fe­nen Unter­neh­men durch­füh­ren kön­nen. Dafür sei­en ent­spre­chen­de Res­sour­cen bereit­ge­stellt.

Das Enforce­ment liegt dem­ge­gen­über – wie schon für das Safe-Har­bor-Frame­work – bei der Federal Tra­de Com­mis­si­on, der FTC, die ver­spro­chen hat, Beschwer­den von EU-Mit­glied­staa­ten prio­ri­tär zu behan­deln. Im Fall einer Beschwer­de oder von Amts wegen kann die FTC Abklä­run­gen tref­fen, for­mel­le Unter­su­chun­gen eröff­nen und Amts­hil­fe lei­sten. Die FTC kann auch fal­sche Anga­ben über eine Pri­va­cy-Shield-Unter­stel­lun­gen ver­fol­gen, wenn die FTC oder das Depart­ment of Com­mer­ce ent­spre­chen­de Ver­stö­sse fest­stel­len (ein Pro­blem, das unter dem Safe-Har­bor-Frame­work öfter auf­ge­tre­ten ist; die FTC hat­te sich mit 36 ent­spre­chen­den Fäl­len befasst).

Soweit Vor­wür­fe von Daten­schutz­ver­let­zun­gen den Trans­port­be­reich betref­fen (z.B. Ver­let­zun­gen von Daten­schutz­er­klä­run­gen durch Flug­li­ni­en), liegt das Enforce­ment bei Depart­ment of Trans­por­ta­ti­on. Des­sen Avia­ti­on Enforce­ment Office hat dabei die Kom­pe­tenz, vor­sorg­li­che Mass­nah­men anzu­ord­nen und Stra­fen zu ver­hän­gen (nicht aber Scha­den­er­satz zuzu­spre­chen, sofern das betref­fen­de Unter­neh­men Ersatz­zah­lun­gen nicht im Rah­men eines Ver­gleichs akzep­tiert).

Die Privacy-Shield-“Principles”

Der Kern des Pri­va­cy Shield besteht in den Princi­p­les (und der Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on). Die Princi­p­les (s. dazu unten, Anhang) besteht aus einer Über­sicht, aus den eigent­li­chen “Princi­p­les” und den “Sup­ple­men­tal Princi­p­les”. Die Princi­p­les selbst glie­dern sich in Bestim­mun­gen zur Trans­pa­renz (Noti­ce), einem Opt-Out-Recht der betrof­fe­nen Per­so­nen (Choice), Bestim­mun­gen über die Wei­ter­ga­be von Per­sio­nen­da­ten (Onward Trans­fer), Bestim­mun­gen zur Daten­si­cher­heit (Secu­ri­ty), Regeln über die Ver­hält­nis­mä­ssig­keit, Zweck­bin­dung und Daten­qua­li­tät (Data Inte­gri­ty and Pur­po­se Limi­ta­ti­on), Bestim­mun­gen über das Aus­kunfts­recht (Access) und Bestim­mun­gen zum Rechts­schutz (Recour­se, Enforce­ment and Lia­bi­li­ty). Eine Zusam­men­fas­sung des Inhalts fin­det sich in der Draft Ade­qua­cy Deci­si­on.

Die Sup­ple­men­tal Princi­p­les ent­hal­ten detail­lier­te Bestim­mun­gen über sen­si­ti­ve (beson­ders schüt­zens­wer­te) Daten, Medi­en­pri­vi­le­gi­en, Haf­tung von Infra­struk­tur­an­bie­tern wie Tele­coms oder ISPs, Daten­be­ar­bei­tun­gen durch kotier­te Gesell­schaf­ten, Invest­ment-Ban­ken und Rechts­an­wäl­te, über die Rol­le von Daten­schutz­be­hör­den (DPAs), über die Selbst­zer­ti­fi­zie­rung und die Kon­trol­le der Zer­ti­fi­zie­rung, das Aus­kunfts­recht, Daten von Arbeit­neh­mern, die Wei­ter­ga­be von Daten (onward trans­fer), den Rechts­schutz, über Rei­se­infor­ma­tio­nen, über Gesund­heits­da­ten, über öffent­li­che Daten, über den Zugang durch Behör­den und zu wei­te­ren Punk­ten. Ein Anhang ent­hält sodann Bestim­mun­gen zum Schieds­ver­fah­ren zwi­schen Behör­den und betrof­fe­nen Per­so­nen.

Der Ent­wurf der Ange­mes­sen­heits­ent­schei­dung ent­hält im Wesent­li­chen eine Zusam­men­fas­sung des Pri­va­cy Shiel­ds und die Fest­stel­lung, dass die­se Regeln zu einem ange­mes­se­nen Schutz von Per­so­nen­da­ten füh­ren, die unter Gel­tung des Pri­va­cy Shield an Emp­fän­ger in den USA über­mit­telt wer­den. Das Ade­qua­cy Fin­ding soll, wie es der EuGH gefor­dert hat­te, peri­odisch über­prüft wer­den.

Die Frage von Spionageaktivitäten ausserhalb der USA

Im Zusam­men­hang mit der von EuGH im Schrems-Urteil beson­ders gerüg­ten Mas­sen­über­wa­chung ver­wei­sen die Unter­la­gen (nament­lich das Schrei­ben des Direc­tor of Natio­nal Intel­li­gence an das US Depart­ment of Com­mer­ce und die US Inter­na­tio­nal Tra­de Admi­ni­stra­ti­on) auf eine Direk­ti­ve von Prä­si­dent Oba­ma vom Janu­ar 2014 (Pre­si­den­ti­al Poli­cy Direc­tive no. 28 – Signals Intel­li­gence Activi­ties, PPD-28 (PDF)), die Grund­sät­ze für Abhör­tä­tig­kei­ten fest­ge­legt hat. Die­se Grund­sät­ze, die durch Wei­sun­gen der Geheim­dien­ste (die “US Intel­li­gence Com­mu­ni­ty) kon­kre­ti­siert wur­den, ver­bie­ten Mas­sen­über­wa­chung (“bulk collec­tion”) kei­nes­wegs – im Gegen­teil; sie wird sogar aus­drück­lich als not­wen­di­ges Instru­ment zum Schutz der natio­na­len Sicher­heit bezeich­net. Die Über­wa­chung und die Spei­che­rung der ent­spre­chen­den Daten wird aber leicht ein­ge­schränkt, und die Nut­zung von Daten, die durch Mas­sen­über­wa­chung beschafft wur­den, wird auf sechs Zwecke beschränkt:

the pur­po­ses of detec­ting and coun­tering: (1) espio­na­ge and other thre­ats and activi­ties direc­ted by for­eign powers or their intel­li­gence ser­vices against the United Sta­tes and its inte­rests; (2) thre­ats to the United Sta­tes and its inte­rests from ter­ro­rism; (3) thre­ats to the United Sta­tes and its inte­rests from the deve­lop­ment, pos­ses­si­on, pro­li­fe­ra­ti­on, or use of wea­pons of mass dest­ruc­tion; (4) cyber­se­cu­ri­ty thre­ats; (5) thre­ats to U.S. or allied Armed Forces or other U.S or allied per­son­nel; and (6) trans­na­tio­nal cri­mi­nal thre­ats, inclu­ding illi­cit finan­ce and sanc­tions eva­s­i­on rela­ted to the other pur­po­ses named in this sec­tion.

In no event may signals intel­li­gence collec­ted in bulk be used for the pur­po­se of sup­pres­sing or bur­de­ning cri­ti­cism or dis­sent; dis­ad­van­ta­ging per­sons based on their eth­ni­ci­ty, race, gen­der, sexu­al ori­en­ta­ti­on, or reli­gi­on; afford­ing a com­pe­ti­ti­ve advan­ta­ge to U.S. com­pa­nies and U.S. busi­ness sec­tors com­mer­ci­al­ly; or achie­ving any pur­po­se other than tho­se iden­ti­fied in this sec­tion.

Der Direc­tor of Natio­nal Intel­li­gence betont fer­ner, dass die Über­wa­chung im Aus­land (for­eign intel­li­gence sur­veil­lan­ce) auf Ein­zel­fäl­le bzw. -per­so­nen beschränkt sei. Sie wer­de u.a. durch das US Depart­ment of Justi­ce (DOJ) und das Office of the Direc­tor of Natio­nal Intel­li­gence (ODNI) über­wacht. Aus­lands­über­wa­chun­gen sei­en zudem durch ein Spe­zi­al­ge­richt, das US For­eign Intel­li­gence Sur­veil­lan­ce Court, zu geneh­mi­gen.

Die Frage des Rechtsschutzes

Das pri­mä­re Mit­tel für betrof­fe­ne Per­so­nen ist eine Beschwer­de an das betref­fen­de US-Unter­neh­men. Beschwer­den soll­ten inner­halb von 45 Tagen beant­wor­tet wer­den. Zudem soll eine kosten­lo­se alter­na­ti­ve Schieds­stel­le ein­ge­rich­tet wer­den.

Bei Ver­let­zun­gen der Regeln des Pri­va­cy Shield hat die FTC Mög­lich­kei­ten des Enforce­ment. Wie die FTC zudem betont, ver­mit­teln wei­te­re US-Geset­ze Schutz auch im Bereich des Daten­schut­zes. Bei­spiels­wei­se fin­det das Ver­bot von “unfair or decep­ti­ve acts or prac­tices” Anwen­dung, wenn Hand­lun­gen geeig­net sind, sich in den USA aus­zu­wir­ken oder wenn sie in den USA erfol­gen.

Rechts­schutz für Nicht-Ame­ri­ka­ner bestehe zudem unter dem Com­pu­ter Fraue and Abu­se Act, dem Elec­tro­nic Com­mu­ni­ca­ti­ons Pri­va­cy Act, dem Right to Finan­ci­al Pri­va­cy Act und dem Free­dom of Inform­na­ti­on Act. Im Bereich der Aus­lands­über­wa­chung ste­he es fer­ner auch Per­so­nen ausser­halb der USA frei, Ansprü­che gegen Mit­glie­der von US-Behör­den wegen im Zusam­men­hang mit wider-recht­li­chen Über­wa­chungs­tä­tig­kei­ten vor dem FISA-Gericht durch­zu­set­zen, und absicht­li­che Ver­stö­sse sei­en straf­bar.

Die Rolle des Ombudsman

Im Schrei­ben des Secreta­ry of Sta­te, John Ker­ry, wird u.a. die Rol­le des Ombuds­man (“Ombuds­per­son”) erläu­tert. Das Amt wird vom im Aussen­mi­ni­ste­ri­um ange­sie­del­ten “Seni­or Coor­di­na­tor for Inter­na­tio­nal Infor­ma­ti­on Tech­no­lo­gy Diplo­ma­cy” ver­se­hen, zur Zeit Cathe­ri­ne Novel­li. Die Ombuds­per­son unter­sucht Beschwer­den, die den Bereich der natio­na­len Sicher­heit betref­fen, wobei Ein­zel­per­so­nen nur auf dem Weg über eine – noch zu bezeich­nen­de – Euro­päi­sche Stel­le an den Ombuds­man über­mit­telt wer­den.

Die Ombuds­per­son hat die Auf­ga­be, Beschwer­den nach­zu­ge­hen und die über­mit­teln­de Euro­päi­sche Stel­le zu infor­mie­ren, dass das ent­spre­chen­de US-Recht ein­ge­hal­ten oder dass Ver­let­zun­gen beho­ben wur­den. Im Fall von Rechts­ver­let­zun­gen sind Beschwer­den zudem den zustän­di­gen US-Behör­den wei­ter­zu­lei­ten. Die Ombuds­per­son kann Beschwer­den auch dem Pri­va­cy and Civil Liber­ties Over­sight Board über­mit­teln, einem unab­hän­gi­gen Gre­mi­um mit bera­ten­der Funk­ti­on. Neben die­sen kom­mu­ni­ka­ti­ven und koor­di­na­ti­ven Funk­tio­nen hat die Ombuds­per­son jedoch kei­ne Kom­pe­ten­zen.

Nächste Schritte

Die Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on ist erst ein Ent­wurf. Ende März 2016 wird die Arti­kel-29-Arbeits­grup­pe an einem ausser­or­dent­li­chen Tref­fen über den Pri­va­cy Shield bera­ten. Auch die Mit­glied­staa­ten wer­den sich dazu äussern. Anschlie­ssend wird die Kom­mis­si­on end­gül­tig ent­schei­den. In der Zwi­schen­zeit wer­den sich die US-Behör­den auf ihrer Sei­te auf die Umset­zung des Pri­va­cy Shield vor­be­rei­ten.

Es ist anzu­neh­men, dass die Schweiz mög­lichst rasch ein ana­lo­ges Abkom­men mit der USA aus­han­deln will. Der EDÖB ad inte­rim hat sich auf Twit­ter in die­se Rich­tung geäu­ssert.

Privacy Shield Principles:

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.