Die endgültige Fassung des EU-US Privacy Shield wurde nach intensiven Verhandlungen nun endlich von der EU-Kommission verabschiedet. Nachdem Ende 2015 das bisherige Datenschutzabkommen mit den USA – Safe Harbor – vom Europäischen Gerichtshof gekippt wurde, erklärten die europäischen Aufsichtsbehörden zunächst ein Moratorium bis Ende Januar 2016, wonach in dieser Zeit Datentransfers in die USA nicht überprüft werden sollten. Im Anschluss herrschte bei vielen Unternehmen große Unsicherheit, drohen doch empfindliche Bußgelder sollten die Aufsichtsbehörden einen nicht legitimierten Datentransfer in die USA feststellen.
Mit dem Wegfall von Safe Harbor, waren Binding Corporate Rules und die sogenannten EU-Standardvertragsklauseln die einzige Möglichkeit Daten in rechtlich zulässiger Weise in die USA zu übertragen. Mit dem EU-Privacy Shield soll nun endlich eine solide Lösung gefunden werden.
Was ist der Hintergrund?
Spätestens seit den Snowden-Enthüllungen dürfte es niemanden mehr überraschen, dass die USA im Hinblick auf den Datenschutz als „unsicherer Drittstatt“ aus Sicht der EU eingestuft werden. Wollen Unternehmen, etwa an einen Dienstleister mit Sitz in den USA (bspw. bei der Inanspruchnahme von Cloud-Services) personenbezogene Daten übertragen, müssen sie nach Art. 25 der EG Datenschutzrichtlinie, welcher in § 4b Bundesdatenschutzgesetz seine deutsche Umsetzung gefunden hat, ausreichende Garantien dafür liefern, dass bei dem jeweiligen Empfänger in den USA angemessene Datenschutzstandards bestehen.
Safe Harbor sah vor, dass eine Datenübermittlung zu solchen US-Unternehmen rechtlich zulässig war, welche sich beim dortigen Handelsministerium im Hinblick auf den Datenschutz unter Safe Harbor haben zertifizieren lassen.
Das US-Privacy Shield – Großer Wurf oder ein altes Auto mit neuem Lack?
Mit Verabschiedung der endgültigen Fassung des EU-US-Privacy Shields als sogenannte Angemessenheitsentscheidung nach Art. 25 Abs. 6 der EG-Datenschutzrichtlinie, sind die Lager der Kritiker und Befürworter noch immer weit voneinander entfernt.
Die Befürworter auf der einen Seite sahen darin nicht weniger als einen großen Wurf des Datenschutzes und sind überzeugt, eine endgültige Lösung gefunden zu haben. Hervorgehoben wird insofern, dass an strittigen Passagen nachgebessert und klare Regelungen getroffen wurden.
So hat etwa der Zweckbindungsgrundsatz, der auch wesentlicher Bestandteil der EU-Datenschutzgrundverordnung sein wird, wonach Daten ausschließlich zu einem, von vornherein festgelegten eindeutigen und rechtlich zulässigen Zweck erhoben und verarbeitet werden dürfen, eine klare Regelung im Privacy Shield gefunden. Zudem seien insbesondere die Rechte der EU-Bürger gestärkt worden, diese können sich bei Datenschutzverstößen von US-Unternehmen auf verschiedenen Wegen, etwa einer Ombudsperson, beschweren.
Für die Kritiker ist es dagegen weit von dem entfernt, was der EuGH im Rahmen der Safe Harbor Entscheidung gefordert hat. Deren Meinung nach würde das Privacy Shield einer Überprüfung des EuGH ebenso nicht standhalten. Genau wie bei Safe Harbor seien durch das Privacy Shield die Datenschutzschlupflöcher gerade nicht geschlossen worden. Zudem bestehe weiterhin das Prinzip der Selbst-Zertifizierung und eine Überprüfung nationaler Aufsichtsbehörden sei nicht vorgesehen. Eine ausreichende Kontrolle der US-Unternehmen sei somit erneut nicht gewährleistet und ein wiederholtes Scheitern demnach nicht unwahrscheinlich.
Was gilt es nun für Unternehmen zu beachten?
Es ist vorgesehen, dass sich Unternehmen in den USA ab dem 01.08.2016 in die sog. Privacy Shield List eintragen können. Demnach dürfe aller Voraussicht nach eine auf das Privacy Shield gestützte Datenübermittlung ab diesem Zeitpunkt möglich sein. Unternehmen stehen diesbezüglich jedoch weiterhin vor ähnlichen Unsicherheiten wie unmittelbar vor der Kassation von Safe Harbor. Die Anzeichen, dass auch dieses Abkommen zumindest gerichtlich überprüft wird, sind nur allzu deutlich.
Um auf Nummer sicher zu gehen, könnten Unternehmen weiterhin auf die EU-Standardvertragsklauseln zurückgreifen. Die Krux dieser Verträge besteht jedoch darin, dass diese quasi auf demselben „Fundament“ stehen wie Safe Harbor seinerzeit und daher teilweise auch diese als unwirksam erachten werden. So haben Datenschützer darauf aufmerksam gemacht, dass die in den Begründungen zu Safe Harbor genannten Argumente ebenso auf die Standardvertragsklauseln zutreffen und diese demnach einer gerichtlichen Überprüfung nicht standhalten würden.
Fazit und Ausblick
Für Unternehmen, die personenbezogene Daten in die USA übermitteln wollen, sieht die Zukunft wohl ähnlich unsicher aus wie die jüngere Vergangenheit. Der Datentransfer in die USA bleibt somit weiterhin eher eine rechtliche Grauzone. Unternehmen ist zu empfehlen das Thema Datenschutz in den Fokus zu nehmen und die datenschutzrechtlichen Entwicklungen genau zu verfolgen.
Redaktioneller Hinweis:
Vgl. zu diesem Thema auch Wulf, DB 2016 S. 1684.