| Safe Habor-Nachfolgeregelung

EU-Kommission und US-Regierung einigen sich auf Datentransfer-Neuregelung

Privacy Shield als EuGH-konforme Safe Habor-Nachfolgeregelung?
Bild: Haufe Online Redaktion

Die EU-Kommission und die US-Regierung haben sich Anfang Februar 2016 auf eine Neuregelung geeinigt, die den Transfer von personenbezogenen Daten in die USA ermöglichen soll. Wie ist diese Vereinbarung einzuschätzen und wie ist die aktuelle Situation der Daten transferierenden Unternehmen?

Nachdem der Europäische Gerichtshof bereits im November 2015 die Vereinbarung zwischen der EU und den USA, die eine Übermittlung von personenbezogenen Daten an Unternehmen in den USA ermöglichen soll („Safe Harbor“) für unwirksam erklärt hatte, herrscht seitdem erhebliche Rechtsunsicherheit.

Hintergrund

Klar war und ist, dass eine Übermittlung von personenbezogenen Daten auf Grundlage dieser Vereinbarung nicht zulässig ist. Um die Unternehmen zu entlasten, vereinbarten die europäischen Datenschutzbehörden ein „Moratorium“. Demnach wollten sie jedenfalls bis Ende Januar 2016 nicht gegen europäische Unternehmen vorgehen, die ihre Daten auf Grundlage von „Safe Harbor“ in die USA übermitteln. Pünktlich zum Ende dieses Moratoriums haben die EU-Kommission und die US-Regierung nun die Einigung verkündet. Über den Inhalt der Neuregelung ist wenig bekannt. Offenbar liegen auch noch keine ausgearbeiteten Regelungen vor, lediglich ein Name „EU-US Privacy Shield“ = „Datenschutzschild“) ist bekannt.

Zu den bereits bekannt gewordenen Eckdaten der neuen Vereinbarung gehört, dass Unionsbürger die Möglichkeit erhalten sollen, kostenfrei einen Ombudsmann in den USA einzuschalten. Zudem sollen die amerikanischen Unternehmen stärker als bislang durch das amerikanische Wirtschaftsministerium überprüft werden.

Anmerkung

Unklar ist weiterhin, wie die neue Vereinbarung mit dem größten Kritikpunkt des EuGH umgeht. Der EuGH hatte seine Entscheidung maßgeblich darauf gestützt, dass die amerikanischen Sicherheitsbehörden nahezu vorbehaltlos Zugriff auf personenbezogene Daten erhalten. Eine Gesetzesänderung in den USA ist hierzu offenbar nicht geplant, vielmehr scheint sich die EU-Kommission im Wesentlichen auf Zusagen des US-Geheimdienstkoordinators zu verlassen. Wenig überraschend wird die geplante neue Vereinbarung daher bereits jetzt heftig kritisiert.

Datenschützer haben Zweifel, ob eine Vereinbarung mit dem bislang bekannten Inhalt vor dem EuGH Bestand haben würde. Der Zusammenschluss der Europäischen Datenschutzbehörden, (die „Artikel 29 Arbeitsgruppe“) äußert sich bislang noch zurückhaltend und hat eine umfassende Prüfung angekündigt. In der Zwischenzeit sind nach Auffassung der Arbeitsgruppe jedenfalls alle Datenübermittlungen in die USA auf Grundlage des Safe Harbor Abkommens unzulässig. Die nationalen Aufsichtsbehörden sollen im Einzelfall entscheiden, ob und in welche Form sie gegen Verstöße vorgehen. Datenübermittlungen in die USA auf Grundlage von EU-Standardverträgen oder „Binding Corporate Rules“ sollen hingegen während der Prüfphase weiterhin toleriert werden. Mit Ablauf der Prüfphase – voraussichtlich im März – will die Arbeitsgruppe entscheiden, ob Datenübermittlungen auf dieser Grundlage weiterhin zulässig sind.

Für Unternehmen sind dies leider nur bedingt gute Nachrichten. Positiv ist dabei sicher, dass sich EU-Kommission und die US-Regierung aktiv um eine Lösung bemühen. Allerdings verbleibt eine erhebliche Rechtsunsicherheit. Unternehmen sind daher gut beraten, wenn sie Datenübermittlungen in die USA (und hierzu gehört auch die Nutzung von IT-Dienstleistungen amerikanischer Anbieter, wie z.B. Cloud-Lösungen) bereits jetzt intensiv überprüfen. Dringender Handlungsbedarf besteht für die Unternehmen, die sich nach wie vor auf Safe Harbor verlassen.

Rechtsanwälte Dr. Frank Jungfleisch, Sebastian Hoegl, LL.M. (Wellington), Friedrich Graf von Westphalen & Partner, Freiburg

Vgl. zu dem Thema auch:

Umstrittene Nachfolgeregelung für Safe Harbor - Privacy Shield überzeugt noch nicht alle

Der Europäische Gerichtshof erklärt das Safe-Harbor-Abkommen zwischen der Europäischen Union und den USA für ungültig

Schlagworte zum Thema:  Datenschutzaufsicht, Facebook, Grundrechte, Überwachung

Aktuell

Meistgelesen