Einführung

 
Benedikt Klas, LL.M., ist Rechtsanwalt, Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter (TÜV SÜD). Der Absolvent des berufsbegleitenden Master-Studiengangs Informationsrecht (Universität Oldenburg) und Träger des DSRI-Absolventenpreises leitete in den Jahren 2013 bis 2016 die Abteilung Kundendatenschutz der Deutschen Bahn. Ab Oktober 2016 ist er wieder in den Bereichen IT-Recht, Vertragsrecht und Strafrecht bei der Karlsruher Anwaltskanzlei Küster Klas & Kollegen tätig, deren Gründungspartner er im Jahr 2010 war.

Die EU-Kommission hat am 12.7.2016 die Neuregelung zum Datenaustausch mit den USA, das sog. EU-US-Privacy Shield, verabschiedet. Dieses Abkommen soll die Grundrechte von EU-Bürgern beim Transfer von personenbezogenen Daten in die USA besser schützen und Rechtsklarheit für Unternehmen schaffen. Diese Neuregelung war notwendig geworden, nachdem der EuGH am 6.10.2015 das als Safe Harbor bezeichnete Vorgängerabkommen für ungültig erklärt hatte, da dadurch kein angemessenes Datenschutzniveau gewährleistet sei.

Der nicht regelmäßig mit Datenschutzrecht befasste Leser wird sich fragen, warum eine solches Abkommen überhaupt notwendig ist, was an "Safe Harbor 2.0" das Neue sein soll und ob endlich – möglichst dauerhafte – Rechtssicherheit bei Datentransfers in die USA besteht.

Nach europäischem Datenschutzrecht darf eine Übermittlung personenbezogener Daten in ein Land außerhalb des EWR nur erfolgen, wenn sichergestellt ist, dass in diesem "Drittland" ein angemessenes Datenschutzniveau herrscht, was in den USA nicht der Fall ist. Um europäischen Unternehmen mit in diesem "unsicheren Drittland" gelegenen Unternehmen dennoch unkomplizierten Datenaustausch zu ermöglichen, wurde zwischen 1998 und 2000 für US-Unternehmen ein besonderes Verfahren der Selbstzertifizierung entwickelt. Diese konnten sich gegenüber dem US-Handelsministerium verpflichten, die weitgehend den Grundsätzen des europäischen Datenschutzrechts entsprechenden Safe-Harbor-Prinzipien zu befolgen. Hinsichtlich dieser (selbst)zertifizierten US-Unternehmen begrenzte die EU-Kommission das grundsätzliche Verbot der Datenübermittlung in unsichere Drittstaaten. Im Jahr 2015 waren ca. 5500 US-Unternehmen dem Safe-Harbor-Abkommen beigetreten, darunter Google, Facebook und Amazon.

Safe Harbor stand von Beginn an in der Kritik von Datenschützern, die insbesondere bemängelten, dass die Einhaltung der Selbstverpflichtung nicht ausreichend überwacht werde. Nach den NSA-Enthüllungen verschärfte sich die Kritik drastisch, so dass im Jahr 2013 zwischen EU-Kommission und US-Handelsministerium Verhandlungen eines neuen Datenschutzabkommens aufgenommen wurden. Nach dem Safe-Harbor-Urteil des EuGH vom 6.10.2015 steigerte sich die Dringlichkeit, da die Datenschutzaufsichtsbehörden für diese häufig genutzte Grundlage des Datentransfers in die USA nur eine Schonfrist bis Ende Januar 2016 gewährten. Unternehmen blieb somit nur die – aufwändigere und teilweise ebenfalls mit Rechtsunsicherheit behaftete – Möglichkeit, Daten auf Basis der EU-Standardvertragsklauseln, von Binding Corporate Rules, von behördlichen Einzelfallermächtigungen oder von Einwilligungen der Betroffenen in die USA zu übermitteln.

Nach Vorlage des Entwurfs des Privacy Shield im Februar 2016 veröffentlichten die Artikel-29-Datenschutzgruppe, der Europäische Datenschutzbeauftragte sowie das Europäische Parlament kritische Stellungnahmen bzw. Entschließungen. Diese berücksichtigend nahm die EU-Kommission einige Klarstellungen und Verbesserungen vor, die allerdings teilweise als rein kosmetischer Natur beanstandet wurden.

Das EU-US-Privacy Shield stellt wie Safe Harbor ein System der Selbstzertifizierung der teilnehmenden US-Unternehmen dar. Allerdings findet durch die Europäische Kommission und das US-Handelsministerium eine gemeinsame jährliche Überprüfung des Datenschutzschilds statt. Die EU-Kommission, die ihre Angemessenheitsentscheidung auch aussetzen oder aufheben kann, wird hierzu jährlich einen öffentlichen Bericht vorlegen. Die materiellen Datenschutzgrundsätze des Privacy Shield entsprechen im Wesentlichen denen, die bereits Safe Harbor zugrunde lagen, wobei die Regeln zur Datenweitergabe an Dritte verschärft wurden. Darüber hinaus wurden diverse Optionen zur Sicherung des Rechtsschutzes der EU-Bürger wie Ombudsstellen und Schiedsverfahren eingerichtet. Weiter haben die USA eine unterschiedslose Massenüberwachung der im Rahmen des Privacy Shields übermittelten Daten ausgeschlossen und klargestellt, dass eine Sammelerhebung "nur unter bestimmten Voraussetzungen und mit einer möglichst gezielten Ausrichtung" erfolgen darf.

Hier setzt die Ablehnung der Kritiker des Abkommens jedoch an: Die Absichtsbekundung der amerikanischen Geheimdienste, die massenhafte Überwachung der europäischen Daten zu beschränken, habe keinen Gesetzesrang und sei nicht wirklich überzeugend, zumal auch künftig weit interpretierbare Befugnisse bestehen, Daten zu sammeln, wenn dies für die national...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge