Am 29.2.2016 hat die EU-Kommission eine Sammlung von Dokumenten zum "EU-US Privacy Shield" veröffentlicht, die zukünftig die Rahmenbedingungen für eine Datenübertragung in die USA regeln sollen. Die veröffentlichten Dokumente konkretisieren die vor rund einem Monat getroffene inhaltliche Einigung zwischen EU und USA über Eckpunkte des Abkommens. Zudem hat die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses verabschiedet, in welchem festgestellt wird, dass die neuen Regelungen dem Datenschutzstandard der EU entsprechen.
Kernpunkte der Neuregelung sind:
- US-Unternehmen können sich wie bislang auch unter „Safe Harbor“ freiwillig zur Einhaltung des Privacy Shield verpflichten. Das US-Department of Commerce wird überwachen, dass diese Verpflichtungen öffentlich einsehbar sind. Die Einhaltung der Verpflichtungen wird von der US Federal Trade Commission rechtlich überwacht. Die Zertifizierung muss anders als bei Safe Harbor jährlich erneuert werden.
- US-Unternehmen, die Arbeitnehmerdaten aus der EU verarbeiten, müssen sich den Vorgaben der europäischen Aufsichtsbehörden unterwerfen.
- Die Unternehmen müssen Anlaufstellen zur Verfügung zu stellen, an die sich die Betroffenen im Falle einer Beschwerde wenden können.
- Die US-Behörden haben der EU zugesichert, dass der Zugriff öffentlicher Stellen, zu denen auch die Geheimdienste zählen, klaren Begrenzungen, Sicherheitsvorkehrungen und Aufsichtsmechanismen unterworfen wird. Eine Massenüberwachung wird nur noch in sechs – allerdings sehr weit gefassten - Fallgruppen erlaubt.
- Die EU-Kommission und das US Department of Commerce überprüfen jährlich, ob das Abkommen in der Praxis funktioniert und die Persönlichkeitsrechte der EU-Bürger wirksam geschützt werden. An dieser Prüfung werden auch die Datenschutzaufsichtsbehörden beteiligt.
- Es wird eine Ombudsstelle geben, die Beschwerden von EU-Bürgern über einen möglichen Zugriff der US-Geheimdienste auf ihre Daten aufnehmen soll. Diese Funktion soll von Unterstaatssekretärin Catherine A. Novelli besetzt werden, die dem Außenministerium angehört.
- Unternehmen müssen auf Beschwerden über einen möglichen Datenmissbrauch innerhalb von 45 Tagen reagieren. Verstößt ein Unternehmen hiergegen, kann es im Höchstfall von der Zertifizierung ausgeschlossen werden.
- Es steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Die betroffenen EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch.
Nächste Schritte:
Während auch in Washington Vorbereitungen getroffen werden, um das neue Regelwerk umzusetzen, werden in der EU noch die Stellungnahmen der Mitgliedsstaaten und der Art. 29-Datenschutzgruppe erwartet. Diese haben ihre Einschätzungen zum 12./13.4.2016 angekündigt. Ziehen die Verantwortlichen darin eine positive Bilanz für den "EU-US Privacy Shield", könnte die EU Kommission das Abkommen für gültig erklären.
Bis das Abkommen jedoch abschließend bewertet und in Kraft getreten ist, stehen den Unternehmen zunächst nur die bereits bekannten Instrumente der EU-Standardvertragsklauseln und/oder Binding Corporate Rules zur Verfügung.
Die nun veröffentlichten Dokumente konnten die Rechtsunsicherheit nicht beseitigen. Insbesondere die nach wie vor weitgehenden Möglichkeiten des Zugriffs auf die Daten durch US-Behörden sind kritisch zu bewerten. Abgesehen davon beruhen die Zusicherungen nur auf einer Direktive des aktuellen Präsidenten Obama, die von einer neuen US-Administration jederzeit geändert werden können.
Es ist angesichts der zahlreichen Ankündigungen sehr wahrscheinlich, dass der EuGH sich auch mit dem Privacy Shield wird befassen müssen. Max Schrems, der mit seinem Verfahren das Safe-Harbor-Abkommen zu Fall gebracht hat, hat bereits eine entsprechende Initiative angekündigt.
Angesichts dieser Unsicherheiten ist Unternehmen weiterhin zu raten, neben einer möglichen Zertifizierung auch weiterhin auf EU-Standardvertragsklauseln oder Binding Corporate Rules zu setzen.
%20(2).jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.