17. August 2016Datenschutz

EU-US-Privacy Shield in Kraft – Raus aus der Grauzone!?

Nachdem der Europäische Gerichtshof im Oktober 2015 „Safe Harbor“ für unwirksam erklärt hatte, bestand Handlungsbedarf für die US-Regierung und die EU-Kommission. Ziel war es, sich auf ein neues Abkommen zu einigen, welches eine rechtskonforme Datenübertragung in die USA ermöglichen soll: Anfang des Jahres wurde nach langwierigen und zähen Verhandlungen das „Privacy Shield“ entworfen, welches den transatlantischen Austausch personenbezogener Daten regelt und nunmehr – so das erklärte Ziel – für Rechtssicherheit für europäische Unternehmen sorgen soll. Anfang Juli ist das EU-US Privacy Shield schließlich in Kraft getreten. Doch was bedeutet diese Neuerung für Unternehmen? Können sie endlich aufatmen?


Was war und was ist

Nachdem Safe Harbor mit der Begründung gekippt wurde, dass eine massenhafte Überwachung der Datentransfers durch US-Geheimdienste nicht ausgeschlossen werden kann, räumten die europäischen und deutschen Aufsichtsbehörden Unternehmen zunächst ein Moratorium bis Ende Januar 2016 ein. Datentransfers in die USA sollten in dieser Zeit nicht überprüft werden.

Das europäische Datenschutzrecht schreibt vor, dass eine Übermittlung in Drittstaaten (Staaten außerhalb der Europäischen Union) nur dann erlaubt ist, wenn in dem Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist, was in den USA nicht der Fall ist. Safe Harbor sah vor, dass eine transatlantische Datenübermittlung zu solchen Unternehmen rechtlich zulässig war, welche sich beim dortigen Handelsministerium im Hinblick auf den Datenschutz unter Safe Harbor haben zertifizieren lassen.

Mit dem Wegfall von Safe Harbor waren daher neben der ausdrücklichen Einwilligung der Nutzer Binding Corporate Rules und die sogenannten EU-Standardvertragsklauseln die einzige Möglichkeit, Daten in rechtlich zulässiger Weise in die USA zu übertragen.


Privacy Shield als „Retter in der Not“?

Anfang 2016 wurden die ersten Bußgeldverfahren für Unternehmen publik. Sie hatten ihre Prozesse einen legitimisierten Datentransfer in die USA betreffend noch nicht umgestellt.
Danach herrschte bei vielen Unternehmen große Unsicherheit. Mit dem EU-US-Privacy Shield soll nun endlich eine solide Lösung gefunden werden.
Doch noch immer sind die Lager der Kritiker und Befürworter weit voneinander entfernt. Optimistische Stimmen auf der einen Seite sahen darin nicht weniger als einen großen Wurf des Datenschutzes und sind überzeugt, eine endgültige Lösung gefunden zu haben. Hervorgehoben wird insofern, dass an strittigen Passagen nachgebessert und klare Regelungen getroffen wurden.
So hat etwa der Zweckbindungsgrundsatz, der auch wesentlicher Bestandteil der EU-Datenschutzgrundverordnung sein wird, wonach Daten ausschließlich zu einem von vornherein festgelegten eindeutigen und rechtlich zulässigen Zweck erhoben und verarbeitet werden dürfen, eine klare Regelung im Privacy Shield gefunden. Zudem seien insbesondere die Rechte der EU-Bürger gestärkt worden, diese können sich bei Datenschutzverstößen von US-Unternehmen auf verschiedenen Wegen, etwa bei einer Ombudsperson, beschweren.


Vor dem Privacy Shield ist nach dem Privacy Shield?

Kritiker äußern sich hingegen skeptisch: Nach deren Meinung ist das Privacy Shield weit von dem entfernt, was der Europäische Gerichtshof im Rahmen der Safe Harbor Entscheidung gefordert hat. Nach deren Meinung würde es einer Überprüfung des EuGH ebenso wenig standhalten. Genau wie bei Safe Harbor seien durch das Privacy Shield die Datenschutzschlupflöcher gerade nicht geschlossen worden. Zudem bestehe weiterhin das Prinzip der Selbst-Zertifizierung und eine Überprüfung nationaler Aufsichtsbehörden sei nicht vorgesehen. Eine ausreichende Kontrolle der US-Unternehmen sei somit erneut nicht gewährleistet und ein wiederholtes Scheitern demnach nicht unwahrscheinlich.

Ein auf das Privacy Shield gestützter transatlantischer Datentransfer ist dennoch ab sofort möglich: Unternehmen, die personenbezogene Daten in die USA übermitteln, können sich nun in die Privacy Shield List eintragen. Eine allumfassende Rechtssicherheit ist für Unternehmen diesbezüglich jedoch nicht gegeben: Die Chancen, dass ähnlich wie das Safe Harbor Abkommen auch das EU-US Privacy Shield zumindest gerichtlich überprüft werden wird, sind sehr wahrscheinlich.


Doch was können Unternehmen tun, um eine allumfassende Rechtssicherheit zu erhalten?

Eine Möglichkeit wäre nach wie vor die Verwendung der EU-Standardvertragsklauseln. Die Schwierigkeit dieser Regelungen besteht jedoch darin, dass diese quasi auf demselben „Fundament“ stehen wie Safe Harbor seinerzeit und daher teilweise auch diese als unwirksam erachten werden. So haben Datenschützer darauf aufmerksam gemacht, dass die in den Begründungen zu Safe Harbor genannten Argumente ebenso auf die Standardvertragsklauseln zutreffen und diese demnach einer gerichtlichen Überprüfung nicht standhalten würden.
Für einen rechtssicheren Datentransfer in die USA stehen die Chancen für Unternehmen daher zukünftig ähnlich schlecht wie zu Zeiten von Safe Harbor. Auch das vielerseits „gehypte“ Privacy Shield als „Retter in der Not“ wird daher voraussichtlich nicht für eine allumfassende Rechtssicherheit für Unternehmen sorgen können. Die transatlantische Datenübermittlung bleibt somit weiterhin eher eine rechtliche Grauzone. Unternehmen ist zu empfehlen das Thema Datenschutz in den Fokus zu nehmen und die datenschutzrechtlichen Entwicklungen genau zu verfolgen.

 

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.