Update Datenschutz Nr. 4
Privacy Shield: Was ist davon zu halten?
Am 02.02.2016 gab die Europäische Kommission bekannt, mit den Vereinigten Staaten einen Nachfolger für das am 06.10.2015 vom EuGH aufgehobene Safe Harbor Abkommens (wir berichteten in Update Datenschutz Nr. 1 und 2) verhandelt zu haben. Dieses Privacy Shield getaufte neue Abkommen soll Unternehmen wie zuvor unter Safe Harbor einen vereinfachten Transfer von personenbezogenen Daten in die USA ermöglichen.
Die Eckpunkte zusammengefasst
Der genaue Wortlaut des neuen Abkommens ist noch nicht bekannt. Bisher haben die Europäische Kommission und die Vereinigten Staaten lediglich bekannt gegeben, dass sie eine grundsätzliche Einigung erzielt hätten und in diesem Zusammenhang mehrere Eckpunkte des neuen Abkommens bekannt gegeben. Der Wortlaut müsste demnach in den folgenden Wochen noch finalisiert werden, damit er anschließend im Rahmen einer Adäquanz-Entscheidung der Europäischen Kommission für verbindlich erklärt werden kann. Mit der Adäquanz-Entscheidung kann gemäß Art. 25 Abs. 6 der sogenannten Datenschutzrichtlinie (Richtlinie 95/46/EG) ein angemessenes Schutzniveau festgestellt werden, damit u.a. die verantwortlichen Stellen in Deutschland gemäß § 4b Abs. 3 BDSG auch ohne vorherige Genehmigung der Aufsichtsbehörden, Einwilligung der Betroffenen oder die Verwendung von Standardvertragsklauseln Transfers in die USA vornehmen können.
Die bislang von der Europäischen Kommission bekannt gegeben Eckpunkten sehen zum einen vor, dass unter dem Privacy Shield für Unternehmen in den USA, an die personenbezogene Daten übertragen werden sollen, neue Regeln zur Sicherstellung des Datenschutzes gelten werden, auf die sich die empfangenen Unternehmen verpflichten müssen. Darüber hinaus soll es effektive Möglichkeiten für die Betroffenen geben, sich gegen eine missbräuchliche Nutzung ihrer personenbezogenen Daten durch die Unternehmen zur Wehr zu setzen. So sollen etwa europäische Datenschutzbehörden Beschwerden direkt an die zuständigen US-Behörden richten können. Zu nennen ist hier etwa das US-Handelsministerium, welches nach den jetzigen Plänen die Einhaltung der neuen Privacy Shield Verpflichtungen durch die in den USA ansässigen Unternehmen sicherstellen soll. Weiterhin soll auch der Zugriff von US-Behörden, insbesondere die Massenüberwachung durch Sicherheitsbehörden, eingeschränkt und den Betroffenen mittels eines Ombudsmanns eine Rechtsschutzmöglichkeit eingeräumt werden. Das Fehlen einer solchen Möglichkeit war der Hauptkritikpunkt des EuGH in der Entscheidung, mit dem er das Safe Harbor Abkommen für ungültig erklärte.
Ausblick
Es bleibt abzuwarten, wie die konkreten Regelungen ausgestaltet werden. Bis dies bekannt ist und die Europäische Kommission ihre Adäquanz-Entscheidung zum Privacy Shield veröffentlicht hat, kann Privacy Shield für Datentransfers noch nicht genutzt werden. Vielmehr bleibt es dabei, dass Datentransfers, die zuvor auf dem Safe Harbor Abkommen beruhten, seit dem 06.10.2015 einen Datenschutzverstoß darstellen, der bußgeldpflichtig sein kann. Die Nutzung der sogenannten Standardvertragsklauseln bleibt aktuell die einzige rechtskonforme Möglichkeit, ohne Einwilligung der Betroffenen oder Zustimmung der Aufsichtsbehörden, Datentransfers in die USA vorzunehmen. Sollten Unternehmen, die bisher Safe Harbor nutzten, diese Umstellung noch nicht vorgenommen haben, sollten sie dies nun schnellstmöglich nachholen. Seit dem 01.02.2016 ist auch die von den Aufsichtsbehörden gesetzte Übergangsfrist für die Nutzung von Safe Harbor abgelaufen und Unternehmen, die noch keine alternativen Transfermechanismen implementiert haben, setzen sich einem hohen Bußgeldrisiko aus. Die endgültige Veröffentlichung von Privacy Shield abzuwarten ist keine Option.
Auch nach Veröffentlichung einer zu erwartenden Entscheidung der Europäischen Kommission zu Privacy Shield ist aber zunächst Zurückhaltung geboten. Bereits jetzt ist absehbar, dass Privacy Shield genauso wie Safe Harbor angegriffen werden wird. Ob solche Angriffe erfolgreich unternommen werden können, lässt sich erst nach Kenntnis des vollständigen Regelungsgehalts des Privacy Shields beurteilen.