Das Datenschutzabkommen mit dem klangvollen Namen EU-US Privacy Shield soll als Nachfolger des gekippten Safe Harbor-Abkommens zukünftig die Datenübermittlung in die USA ermöglichen. Nachdem Anfang Februar der Abschluss der Verhandlungen mit den USA verkündet wurde, hat die Europäische Kommission nun den ausgehandelten Text veröffentlicht.

Logo der neuen Vereinbarung (Bild: Andrus Ansip, Twitter)

Logo der neuen Vereinbarung (Bild: Andrus Ansip, Twitter)

Die Entscheidung der Kommission füllt 34 Seiten, inklusive einer ausführlichen Begründung. Der Entscheidung sind Briefe hoher US-Repräsentanten beigefügt, in denen diese zusichern, die getroffenen Vereinbarungen auch umzusetzen. Allerdings haben diese Zusicherungen rechtlich nicht die Wirkung völkerrechtlicher Verträge.

Erste Reaktionen auf das Abkommen

Kritik am neuen Abkommen wurde bereits laut. So untersagt das geplante Datenschutzabkommen Massenüberwachung nicht vollkommen, sondern begrenzt derartige Maßnahmen der US-Sicherheitsbehörden auf sechs Fälle. Aufgeführt sind Maßnahmen zur Bekämpfung des Terrorismus und der Verbreitung von Massenvernichtungswaffen sowie die Bekämpfung transnationaler krimineller Bedrohungen. Der österreichische Datenschutz-Aktivist Max Schrems, der auch die Safe Harbor-Entscheidung des EuGH initiierte, hält dies für nicht vereinbar mit dem EuGH-Urteil.

Drohende Bußgelder in Hamburg

Das Aus für Safe Harbor hat mittlerweile auch konkrete Folgen für deutsche Unternehmen. Der Hamburgische Datenschutzbeauftragte hat Anfang März gegen drei große Unternehmen in der Hansestadt Verfahren eröffnet, die sich immer noch auf das Safe Harbor-Abkommen stützen. Den Unternehmen drohen hohe Bußgelder. Der Druck auf Unternehmen, ihre Regelungen zur Datenübermittlung in die USA anzupassen, ist merklich gestiegen.

Kann man bald den EU-US Privacy Shield zur Datenübermittlung in die USA nutzen?

Angesichts der jüngsten Entwicklungen bezüglich der Datenübermittlung in die USA sollten sich Unternehmen auf keinen Fall mehr auf das Safe Harbor-Abkommen stützen. Inwiefern das neue EU-US Privacy Shield Datenübermittlung zukünftig ermöglicht, ist schwer vorherzusagen. Aktuell sieht es danach aus, dass die neue Vereinbarung gerichtlich angegriffen wird. Auf Unternehmen, die bei der Datenübermittlung auf das neue Abkommen setzen würden, kämen dann bei einem Urteil, dass das Privacy Shield für nichtig erklärt, erneut erhebliche Umstellungskosten zu. Es ist deshalb ratsam, bis auf weiteres EU-Standardvertragsklauseln zu nutzen. Allerdings ist auch hier ungewiss, wie lange Datenübermittlungen in die USA noch auf Standardvertragsklauseln gestützt werden dürfen. Es wird erwartet, dass sich die europäischen Datenschutzbehörden noch in diesem Jahr dazu äußern, ob EU-Standardvertragsklauseln weiterhin zulässig sind. Die aktuellen Entwicklungen sollten deshalb laufend verfolgt werden.


Malte Kröger