- Offene Daten und Transparenz
„Für ein gemeinsames Datenmodell in der lokalen Welt ist das Tool der Schlüssel“, von Xavier Altafulla
Die in der Artikel-29-Arbeitsgruppe versammelten Datenschutzbehörden der EU-Mitgliedstaaten, zu der auch die spanische Datenschutzbehörde gehört, haben gerade eine gemeinsame Erklärung zu den ersten Konsequenzen veröffentlicht, die sich nach der historischen Entwicklung auf europäischer und nationaler Ebene ergeben können Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 6. Oktober 2015 im Fall Maximilian Schrems vs. Datenschutzbeauftragter (C-362-14).
In ihrem Schreiben halten es die EU-Datenschutzbehörden für unbedingt erforderlich, einen starken, kollektiven und gemeinsamen Standpunkt zur Anwendung des Urteils zu vertreten. Andererseits wird die Arbeitsgruppe die Entwicklung der vor dem Obersten Gerichtshof Irlands anhängigen Verfahren genau beobachten.
Erstens betont die Arbeitsgruppe, dass die Frage der massenhaften und wahllosen Überwachung ein Schlüsselelement der Analyse des Gerichtshofs ist. Die Gruppe erinnert daran, dass sie wiederholt erklärt hat, dass diese Überwachung mit dem EU-Rechtsrahmen unvereinbar ist und dass die bestehenden Transferinstrumente keine Lösung für dieses Problem darstellen. Darüber hinaus gelten, wie bereits erwähnt, Übermittlungen in Drittländer, in denen die Befugnisse staatlicher Behörden zum Zugriff auf Informationen über das in einer demokratischen Gesellschaft erforderliche Maß hinausgehen, nicht als sichere Ziele für Übermittlungen.
In diesem Sinne erfordert das Urteil des Gerichts, dass jede Angemessenheitsentscheidung eine umfassende Analyse der nationalen Gesetze des Landes, das die Daten erhält, sowie seiner Verpflichtungen umfasst.
Daher fordert die Arbeitsgruppe die Mitgliedsstaaten und die europäischen Institutionen dringend auf, Gespräche mit den US-Behörden aufzunehmen, um politische, rechtliche und technische Lösungen zu finden, die Datenübermittlungen auf US-Territorium unter Wahrung der Grundrechte ermöglichen.
Diese Lösungen könnten durch die Aushandlung eines zwischenstaatlichen Abkommens gefunden werden, das den EU-Interessenten mehr Garantien bietet. Die aktuellen Verhandlungen um einen neuen Safe Harbor könnten Teil der Lösung sein. In jedem Fall sollten diese Lösungen immer mit klaren und verbindlichen Mechanismen einhergehen und zumindest Verpflichtungen zur notwendigen Überwachung des Zugriffs durch Behörden, zu Transparenz, Verhältnismäßigkeit, Wiedergutmachungsmechanismen und Rechten im Datenschutzrecht beinhalten.
In der Zwischenzeit wird die Arbeitsgruppe ihre Analyse der Auswirkungen des EuGH-Urteils auf andere Übertragungsinstrumente fortsetzen. Während dieses Zeitraums sind Datenschutzbehörden der Ansicht, dass Standardvertragsklauseln und verbindliche Unternehmensregeln (BCRs) weiterhin verwendet werden können. Dies hindert die Datenschutzbehörden jedenfalls nicht daran, Einzelfälle, beispielsweise aufgrund von Beschwerden, zu prüfen und ihre Befugnisse zum Schutz natürlicher Personen auszuüben.
Sollte bis Ende Januar 2016 keine geeignete Lösung mit den US-Behörden gefunden werden, verpflichten sich die EU-Datenschutzbehörden abhängig von der Bewertung der Übermittlungsinstrumente durch die Arbeitsgruppe, alle erforderlichen und angemessenen Maßnahmen zu ergreifen, darunter auch: koordinierte Strafverfolgungsmaßnahmen (Durchsetzung).
Im Hinblick auf die praktischen Konsequenzen des EuGH-Urteils hält die Arbeitsgruppe es für klar, dass Übermittlungen aus der Europäischen Union in die USA nicht mehr im Angemessenheitsbeschluss 2000/520/CE der Europäischen Kommission (dem sogenannten Safe-Harbor-Beschluss) geregelt werden können ). In jedem Fall sind die Übermittlungen, die nach dem EuGH-Urteil noch im Rahmen der Safe-Harbor-Entscheidung durchgeführt werden, rechtswidrig.
Um sicherzustellen, dass alle Akteure ausreichend informiert sind, werden die EU-Datenschutzbehörden entsprechende Informationskampagnen in ihren jeweiligen Ländern starten. Dies kann direkte Informationen an alle Unternehmen umfassen, von denen bekannt ist, dass sie die Safe-Harbor-Entscheidung anwenden, sowie allgemeine Mitteilungen auf den Websites der Behörden.
Abschließend besteht die Arbeitsgruppe auf einer gemeinsamen Verantwortung zwischen Datenschutzbehörden, EU-Institutionen, Mitgliedstaaten und Unternehmen, um nachhaltige Lösungen zur Umsetzung des Urteils des Gerichtshofs zu finden. Insbesondere und im Kontext des Satzes sollten Unternehmen über die eventuellen Risiken nachdenken, die sie bei der Übermittlung von Daten eingehen, und die rechtzeitige Umsetzung aller rechtlichen und technischen Lösungen in Betracht ziehen, um diese Risiken zu mindern und das gemeinschaftliche Erbe des Datenschutzes zu respektieren.