Datenschutz EU/USA: Aus Safe Harbor wird „Privacy Shield”

Mit Urteil vom 6. Oktober 2015 (Az. C-362/14) hatte der EuGH das zwischen den USA und der Europäischen Union zur datenschutzrechtlichen Rechtfertigung der Übermittlung personenbezogener Daten an Unternehmen mit Sitz in den USA bestehende Safe Harbor-Abkommen für ungültig erklärt. Nun hat die EU-Kommission mit den USA die Eckpunkte eines alternativen Abkommens ausgehandelt. Danach soll ein sog. „Privacy Shield” an die Stelle des Safe Harbor-Abkommens treten.

  
Maßgeblich für die Entscheidung des EuGH war die jederzeitige Zugriffsmöglichkeit der US-Behörden auf  Informationen von EU-Bürgern sowie die fehlende Möglichkeit von EU-Bürgern, Rechtsbehelfe hiergegen einlegen zu können, Zugang zu den eigenen Daten zu erhalten und einen Anspruch auf Löschung geltend machen zu können.

 
Im Anschluss an das Urteil herrschte große Unsicherheit darüber, auf welcher Rechtsgrundlage personenbezogene Daten an US-Unternehmen übermittelt werden könnten. Insbesondere war fraglich, ob die alternativen Instrumentarien, wie die EU-Standardvertragsklauseln oder Binding Corporate Rules, ausreichten, da auch sie den Zugriff der US-Behörden nicht ausschließen (mehr dazu im Beitrag „EuGH kippt Safe Harbor / Unternehmen müssen ihre Datenschutzregelungen überprüfen”).

Parallel zu den unterschiedlichen Stellungnahmen der deutschen und europäischen Aufsichtsbehörden verhandelte die EU-Kommission mit der US-Regierung über ein neues Abkommen, dessen Eckpunkte als Einigung zwischen der Europäischen Union und der US-Regierung gestern wie folgt bekannt gemacht wurden:

1. US-Amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten möchten, müssen sich künftig zur Einhaltung von strengen Datenschutzstandards („robust obligations”) verpflichten. Das US Department of Commerce soll dies überwachen, wodurch diese Verpflichtungen in den USA rechtlich durchgesetzt werden können. Bei personenbezogenen Daten sind zudem die Entscheidungen der Europäischen Datenschutzbeauftragten zu beachten.
    
2. Der Zugriff der US-Behörden soll klaren Begrenzungen, Absicherungs- und Aufsichtsmaßnahmen unterliegen und sich am Grundsatz der Verhältnismäßigkeit orientieren. Eine anlasslose Massenüberwachung soll es nicht geben. Die Einhaltung dieser Maßnahmen soll durch eine jährliche Überprüfung durch die EU-Kommission und das US Department of Commerce sichergestellt werden.
    
3. Zudem sollen EU-Bürger, die der Meinung sind, dass ihre Daten nach dem neuen Abkommen falsch verwendet wurden, mehrere Rechtsschutzmöglichkeiten erhalten. Bei Zugriffen durch die US-Sicherheitsbehörden kann ein neu zu berufener Ombudsmann angerufen werden. Zudem können die Europäischen Datenschutzbeauftragten Beschwerden beim Department of Commerce und der Federal Trade Commission einreichen.

Die Einzelheiten dieser Regelungen sind noch nicht bekannt. Sie sollen in den nächsten Wochen ausgearbeitet werden, wobei die Art. 29-Gruppe zu beteiligen ist. Erst im Verlaufe dieser Verhandlungen wird sich beurteilen lassen, ob dieses neue Privacy Shield-Abkommen die Anforderungen des EuGH umsetzt. Für Unternehmen, die bislang ihre Datenübermittlungen auf Safe Harbor stützten und noch keine Alternativmaßnahmen ergriffen hatten, bleibt insbesondere abzuwarten, ob dieses Privacy Shield Abkommen an die Stelle des Safe Harbor Abkommens tritt. In der Zwischenzeit verbleibt es zunächst bei der derzeitigen unklaren Rechtslage.
 

zuletzt aktualisiert am 03.02.2016