Nachdem der EuGH im letzten Jahr das Safe Harbor-Abkommen für rechtswidrig erklärt hatte, waren die EU und die USA gezwungen, rasch ein Safe Harbor 2.0 auszuhandeln. Am 2. Februar 2016 verkündete die Europäische Kommission nun eine Einigung mit den USA. Das neue Datenschutzabkommen soll den Namen EU-US Privacy Shield tragen und hat bereits ein fesches Logo bekommen. Bis die neuen Regelungen in Kraft treten können, wird aber noch einige Zeit vergehen. Die Datenschutzbehörden akzeptieren vorerst weiterhin Standardvertragsklauseln und Binding Corporate Rules.

Logo der neuen Vereinbarung (Bild: Andrus Ansip/Twitter)

Logo des EU-US Privacy Shield (Bild: Andrus Ansip/Twitter)

Das Safe Harbor-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Oktober 2015 hat hohe Wellen geschlagen. Datenverarbeitern stellte sich die Frage nach den Folgen dieser Entscheidung. Viele Unternehmen fürchteten die Konsequenzen, wenn die Verarbeitung personenbezogener Daten mit Geschäftspartnern in den USA, mit Niederlassungen in den USA oder bei der Nutzung von Online-Diensten US-amerikanischer Anbieter nicht mehr dem europäischen Recht entspricht. Aus diesem Grund wurde es populärer, transatlantische Datenflüsse durch EU-Standardvertragsklauseln oder Binding Corporate Rules abzusichern. Allerdings stehen auch diese in der Kritik, dem europäischen Datenschutzrecht nicht mehr zu entsprechen.

 

Neues Abkommen: EU-US Privacy Shield

Das Safe Harbor-Abkommen bot viele Vorteile für europäische Unternehmen. Die Europäische Kommission intensivierte deshalb nach dem EuGH-Urteil die Verhandlungen mit den USA über den Abschluss eines neuen Datenschutz-Abkommens. Am 2. Februar 2016 war es soweit: Die Justizkommissarin Vera Jourová und der Kommissar für den digitalen EU-Binnenmarkt Andrus Ansip verkündeten eine Einigung im Verhandlungspoker mit den USA. Der Safe Harbor-Nachfolger soll den Titel „EU-US Privacy Shield“ erhalten.

Der genaue Inhalt der Regelungen ist allerdings noch nicht bekannt. Es wird noch etwas Zeit brauchen, bis der Text der Vereinbarung druckreif ist. In einer Unterrichtung des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments teilte die Justizkommissarin aber bereits einige Eckpunkte mit. Demnach soll Folgendes vereinbart werden:

  • Datenschutzverstöße US-amerikanischer Unternehmen: Zunächst sollen die Unternehmen selbst verpflichtet werden, Datenschutzverstöße abzustellen. Europäische Bürger sollen aber im Falle der Weigerung durch das US-amerikanische Unternehmen das Recht haben, Beschwerde bei ihrer nationalen Datenschutzbehörde einzulegen, welche diese an die US-amerikanischen Behörden weiterleitet. Wenn auch dies nicht hilft, soll ein Mechanismus etabliert werden, der den Erlass einer bindenden und durchsetzbaren Entscheidung ermöglicht.
  • Zugriff durch US-Behörden: Der Zugriff von US-amerikanischen Behörden auf Daten von EU-Bürgern soll auf Fälle begrenzt werden, in denen dies notwendig und verhältnismäßig ist, um der nationalen Sicherheit der USA zu dienen. Massenüberwachung soll damit ausgeschlossen werden.
  • Unabhängige Kontrolle: Es soll eine unabhängige Einrichtung in Form eines Ombudsmanns geschaffen werden, der Beschwerden europäischer Bürger nachgeht, denen zufolge US-Behörden im Bereich der nationalen Sicherheit den Datenschutz verletzten.
  • Rechtsverbindlichkeit: Das EU-US Privacy Shield soll kein völkerrechtliches Abkommen werden. Um eine gewisse Form der Verbindlichkeit herzustellen, strebt die Kommission an, dass das Abkommen von Repräsentanten der höchsten politischen Ebene der USA unterzeichnet und das Abkommen im US-amerikanischen Gesetzesblatt veröffentlicht wird.

 

Reaktionen auf die Einigung

Die von der Kommission präsentierten Eckpunkte sind äußerst vage. Erste Reaktionen von Datenschutzrechtsverbänden wie der Deutschen Vereinigung für Datenschutz oder der Initiative European Digital Rights (EDRi) fielen kritisch aus – der Digitalverband Deutschlands Bitkom begrüßte hingegen die Einigung. Entscheidend ist aber insbesondere, wie der Zusammenschluss der europäischen Datenschutzbehörden (Artikel-29-Datenschutzgruppe) das neue Abkommen bewertet.

Am 3. Februar gab die Artikel-29- Datenschutzgruppe eine erste Stellungnahme ab, in der sie betonte, dass sie das neue Abkommen detailliert prüfen werde, sobald die Kommission den Text bereitstellen kann. Dies soll Ende Februar erfolgen. Dass die Artikel-29- Datenschutzgruppe das neue Abkommen ohne Widerspruch für datenschutzrechtskonform erklären wird, ist unter Betrachtung der bislang veröffentlichten Inhalte des Abkommens wenig wahrscheinlich. Die Artikel-29- Datenschutzgruppe definierte jedenfalls schon einmal vorab ihre Standards: Transparenz und Klarheit der Bestimmungen, Notwendigkeit und Verhältnismäßigkeit der Eingriffe, unabhängige und effektive Kontrolle sowie wirksame Rechtsmittel für Betroffene.

 

Wie geht es weiter für Unternehmen?

Da am 31.01.2016 die von den Datenschutzbehörden gesetzte Schonfrist abgelaufen ist, müssen Unternehmen, die noch auf das Safe Harbor-Abkommen setzen, ab sofort mit Untersuchungen durch Datenschutzbehörden rechnen. Es gibt aber immerhin auch eine gute Nachricht für Unternehmen: Die Datenschutzbehörden akzeptieren bis auf Weiteres bei Datenverarbeitungen mit Unternehmen in den USA auch EU-Standardvertragsklauseln und Binding Corporate Rules. Allerdings kündigte die Artikel-29- Datenschutzgruppe bereits an, sowohl EU-Standardvertragsklauseln als auch Binding Corporate Rules noch in diesem Jahr einer Bewertung zu unterziehen. Dann könnte beiden das gleiche Schicksal drohen, welches das Safe Harbor-Abkommen bereits ereilt hat. Unternehmen sollten die aktuellen Entwicklungen deshalb aufmerksam verfolgen.

Lesen Sie auch unser UPDATE vom 15.03.2016


Malte Kröger