Dokumentation
Wie hier berichtet hat die Europäische Kommission am 29. Februar 2016, 27 Tage nach Bekanntgabe der politischen Einigung zwischen der EU und der USA, die Dokumentation zum EU-US Privacy Shield veröffentlicht. Die Dokumentation umfasst neben anderen Dokumenten insbesondere auch die Principles, die für unterstellte Unternehmen gelten werden (> formatiertes Dokument), Zusagen der US-Regierung (des Department of Commerce, des Aussenministers (Secretary of State) John Kerry, der Federal Trade Commission (FTC), des Secretary of Transportation, des Director of National Intelligence und dem US Department of Justice (DOJ)) und den Entwurf der Angemessenheitserklärung (Adequacy Decision) der Kommission.
Durchsetzung und Administration des Privacy-Shield-Programms
Die Administration des Privacy Shield (PS) auf Seiten der USA liegt beim Department of Commerce, das u.a. die Einhaltung der Principles durch die unterstellten Unternehmen überwachen (wobei das eigentliche Enforcement bei der FTC liegt) und die Liste der unterstellten Unternehmen (“Privacy Shield List”) pflegen wird. Das Department wird dazu von Amts wegen Untersuchungen bei den betroffenen Unternehmen durchführen können. Dafür seien entsprechende Ressourcen bereitgestellt.
Das Enforcement liegt demgegenüber – wie schon für das Safe-Harbor-Framework – bei der Federal Trade Commission, der FTC, die versprochen hat, Beschwerden von EU-Mitgliedstaaten prioritär zu behandeln. Im Fall einer Beschwerde oder von Amts wegen kann die FTC Abklärungen treffen, formelle Untersuchungen eröffnen und Amtshilfe leisten. Die FTC kann auch falsche Angaben über eine Privacy-Shield-Unterstellungen verfolgen, wenn die FTC oder das Department of Commerce entsprechende Verstösse feststellen (ein Problem, das unter dem Safe-Harbor-Framework öfter aufgetreten ist; die FTC hatte sich mit 36 entsprechenden Fällen befasst).
Soweit Vorwürfe von Datenschutzverletzungen den Transportbereich betreffen (z.B. Verletzungen von Datenschutzerklärungen durch Fluglinien), liegt das Enforcement bei Department of Transportation. Dessen Aviation Enforcement Office hat dabei die Kompetenz, vorsorgliche Massnahmen anzuordnen und Strafen zu verhängen (nicht aber Schadenersatz zuzusprechen, sofern das betreffende Unternehmen Ersatzzahlungen nicht im Rahmen eines Vergleichs akzeptiert).
Die Privacy-Shield-“Principles”
Der Kern des Privacy Shield besteht in den Principles (und der Angemessenheitsentscheidung der Kommission). Die Principles (s. dazu unten, Anhang) besteht aus einer Übersicht, aus den eigentlichen “Principles” und den “Supplemental Principles”. Die Principles selbst gliedern sich in Bestimmungen zur Transparenz (Notice), einem Opt-Out-Recht der betroffenen Personen (Choice), Bestimmungen über die Weitergabe von Persionendaten (Onward Transfer), Bestimmungen zur Datensicherheit (Security), Regeln über die Verhältnismässigkeit, Zweckbindung und Datenqualität (Data Integrity and Purpose Limitation), Bestimmungen über das Auskunftsrecht (Access) und Bestimmungen zum Rechtsschutz (Recourse, Enforcement and Liability). Eine Zusammenfassung des Inhalts findet sich in der Draft Adequacy Decision.
Die Supplemental Principles enthalten detaillierte Bestimmungen über sensitive (besonders schützenswerte) Daten, Medienprivilegien, Haftung von Infrastrukturanbietern wie Telecoms oder ISPs, Datenbearbeitungen durch kotierte Gesellschaften, Investment-Banken und Rechtsanwälte, über die Rolle von Datenschutzbehörden (DPAs), über die Selbstzertifizierung und die Kontrolle der Zertifizierung, das Auskunftsrecht, Daten von Arbeitnehmern, die Weitergabe von Daten (onward transfer), den Rechtsschutz, über Reiseinformationen, über Gesundheitsdaten, über öffentliche Daten, über den Zugang durch Behörden und zu weiteren Punkten. Ein Anhang enthält sodann Bestimmungen zum Schiedsverfahren zwischen Behörden und betroffenen Personen.
Der Entwurf der Angemessenheitsentscheidung enthält im Wesentlichen eine Zusammenfassung des Privacy Shields und die Feststellung, dass diese Regeln zu einem angemessenen Schutz von Personendaten führen, die unter Geltung des Privacy Shield an Empfänger in den USA übermittelt werden. Das Adequacy Finding soll, wie es der EuGH gefordert hatte, periodisch überprüft werden.
Die Frage von Spionageaktivitäten ausserhalb der USA
Im Zusammenhang mit der von EuGH im Schrems-Urteil besonders gerügten Massenüberwachung verweisen die Unterlagen (namentlich das Schreiben des Director of National Intelligence an das US Department of Commerce und die US International Trade Administration) auf eine Direktive von Präsident Obama vom Januar 2014 (Presidential Policy Directive no. 28 – Signals Intelligence Activities, PPD-28 (PDF)), die Grundsätze für Abhörtätigkeiten festgelegt hat. Diese Grundsätze, die durch Weisungen der Geheimdienste (die “US Intelligence Community) konkretisiert wurden, verbieten Massenüberwachung (“bulk collection”) keineswegs – im Gegenteil; sie wird sogar ausdrücklich als notwendiges Instrument zum Schutz der nationalen Sicherheit bezeichnet. Die Überwachung und die Speicherung der entsprechenden Daten wird aber leicht eingeschränkt, und die Nutzung von Daten, die durch Massenüberwachung beschafft wurden, wird auf sechs Zwecke beschränkt:
the purposes of detecting and countering: (1) espionage and other threats and activities directed by foreign powers or their intelligence services against the United States and its interests; (2) threats to the United States and its interests from terrorism; (3) threats to the United States and its interests from the development, possession, proliferation, or use of weapons of mass destruction; (4) cybersecurity threats; (5) threats to U.S. or allied Armed Forces or other U.S or allied personnel; and (6) transnational criminal threats, including illicit finance and sanctions evasion related to the other purposes named in this section.
In no event may signals intelligence collected in bulk be used for the purpose of suppressing or burdening criticism or dissent; disadvantaging persons based on their ethnicity, race, gender, sexual orientation, or religion; affording a competitive advantage to U.S. companies and U.S. business sectors commercially; or achieving any purpose other than those identified in this section.
Der Director of National Intelligence betont ferner, dass die Überwachung im Ausland (foreign intelligence surveillance) auf Einzelfälle bzw. ‑personen beschränkt sei. Sie werde u.a. durch das US Department of Justice (DOJ) und das Office of the Director of National Intelligence (ODNI) überwacht. Auslandsüberwachungen seien zudem durch ein Spezialgericht, das US Foreign Intelligence Surveillance Court, zu genehmigen.
Die Frage des Rechtsschutzes
Das primäre Mittel für betroffene Personen ist eine Beschwerde an das betreffende US-Unternehmen. Beschwerden sollten innerhalb von 45 Tagen beantwortet werden. Zudem soll eine kostenlose alternative Schiedsstelle eingerichtet werden.
Bei Verletzungen der Regeln des Privacy Shield hat die FTC Möglichkeiten des Enforcement. Wie die FTC zudem betont, vermitteln weitere US-Gesetze Schutz auch im Bereich des Datenschutzes. Beispielsweise findet das Verbot von “unfair or deceptive acts or practices” Anwendung, wenn Handlungen geeignet sind, sich in den USA auszuwirken oder wenn sie in den USA erfolgen.
Rechtsschutz für Nicht-Amerikaner bestehe zudem unter dem Computer Fraue and Abuse Act, dem Electronic Communications Privacy Act, dem Right to Financial Privacy Act und dem Freedom of Informnation Act. Im Bereich der Auslandsüberwachung stehe es ferner auch Personen ausserhalb der USA frei, Ansprüche gegen Mitglieder von US-Behörden wegen im Zusammenhang mit wider-rechtlichen Überwachungstätigkeiten vor dem FISA-Gericht durchzusetzen, und absichtliche Verstösse seien strafbar.
Die Rolle des Ombudsman
Im Schreiben des Secretary of State, John Kerry, wird u.a. die Rolle des Ombudsman (“Ombudsperson”) erläutert. Das Amt wird vom im Aussenministerium angesiedelten “Senior Coordinator for International Information Technology Diplomacy” versehen, zur Zeit Catherine Novelli. Die Ombudsperson untersucht Beschwerden, die den Bereich der nationalen Sicherheit betreffen, wobei Einzelpersonen nur auf dem Weg über eine – noch zu bezeichnende – Europäische Stelle an den Ombudsman übermittelt werden.
Die Ombudsperson hat die Aufgabe, Beschwerden nachzugehen und die übermittelnde Europäische Stelle zu informieren, dass das entsprechende US-Recht eingehalten oder dass Verletzungen behoben wurden. Im Fall von Rechtsverletzungen sind Beschwerden zudem den zuständigen US-Behörden weiterzuleiten. Die Ombudsperson kann Beschwerden auch dem Privacy and Civil Liberties Oversight Board übermitteln, einem unabhängigen Gremium mit beratender Funktion. Neben diesen kommunikativen und koordinativen Funktionen hat die Ombudsperson jedoch keine Kompetenzen.
Nächste Schritte
Die Angemessenheitsentscheidung der Kommission ist erst ein Entwurf. Ende März 2016 wird die Artikel-29-Arbeitsgruppe an einem ausserordentlichen Treffen über den Privacy Shield beraten. Auch die Mitgliedstaaten werden sich dazu äussern. Anschliessend wird die Kommission endgültig entscheiden. In der Zwischenzeit werden sich die US-Behörden auf ihrer Seite auf die Umsetzung des Privacy Shield vorbereiten.
Es ist anzunehmen, dass die Schweiz möglichst rasch ein analoges Abkommen mit der USA aushandeln will. Der EDÖB ad interim hat sich auf Twitter in diese Richtung geäussert.