Rechtsklarheit nach Safe Harbor: EU-US–Privacy-Shield verabschiedet

Home  /  Blog  /  Rechtsklarheit nach Safe Harbor: EU-US–Privacy-Shield verabschiedet

Neues Regelwerk sichert Datenaustausch zwischen EU und den USA 

Erst wenige Tage ist es alt, das neue Privacy Shield. Am 12. Juli 2016 verabschiedete die Europäische Kommission eine neue Verordnung. Sie regelt den Schutz personenbezogener Daten, die aus einem Mitgliedstaat der EU in die USA übermittelt werden. Das neue Abkommen war aufgrund der Außer-Kraft-Setzung des Safe-Harbor-Abkommens notwendig geworden. Im Oktober 2015 hatte der Europäische Gerichtshof die bisherige Regelung zum Datenaustausch zwischen der EU und den USA „ab sofort“ für ungültig erklärt, weil der EuGH die personenbezogenen Daten europäischer Nutzer nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sah.

Nach der Außer-Kraft-Setzung der Safe-Harbor–Principles war der Datenaustausch nur über von der jeweiligen Aufsichtsbehörde genehmigte Unternehmensrahmenverträge (sog. Binding Corporate Rules) und die von der EU vorgegebenen Standardvertragsklauseln möglich, die teilweise auch einer Überprüfung durch die Datenschutzbehörden unterzogen wurden. Thomas Duhr, Vizepräsident des BVDW, erklärte kürzlich in einer offiziellen Stellungnahme des BVDW: „Der gefundene Kompromiss ist durchaus tragbar und tragfähig. Er stellt die Grundlage für die wirtschaftlich wichtigen Datentransfers nach Übersee und liefert rechtssichere Verfahren, mit denen die Einhaltung des europäischen Datenschutzstandards durch die beteiligten US-Unternehmen wirksam überprüft werden kann.“

Das EU-US-Privacy-Shield besteht nun aus einer Reihe an Regelungen (Selbst-Zertifizierung der betroffenen Unternehmen begleitet (wie bisher auch) durch das US-Handelsministerium), darunter auch Grundsätze zum Datenschutz, die von amerikanischen Unternehmen einzuhalten sind sowie Garantien und Beschränkungen für den Datenzugriff durch US-Behörden. So sei etwa die Überprüfung der Einhaltung der Datenschutzregeln durch die FTC und US-Ministerien deutlich verbessert worden. Und auch der Aspekt der Rechtsbehelfe wurde konkretisiert: Die Angemessenheitsentscheidung beruht jedoch auf schriftlichen Versprechen der US-Administration – die Datenschutzgesetze der USA wurden nicht verändert. Der Mechanismus zum Rechtsschutz und zur Datenschutzkontrolle wurden im EU-US-Privacy-Shield ebenfalls nicht wesentlich geändert.

Auch die staatlichen Nachrichtendienste unterliegen künftig strengeren Auflagen: So gelten für die Datensammlung durch US-Geheimdienste strengere Beschränkungen. Betroffene können sich zudem jederzeit an einen Ombudsmann im amerikanischen Außenministerium wenden, der unabhängig von staatlichen Einflüssen agieren soll –  die Besetzung dieses Postens steht jedoch noch aus.

Gegenstand weiterer Diskussionen wird aber auch künftig das „Datensammeln“ der US-Nachrichtendienste bleiben, denn hier bleibt das EU-US-Privacy-Shield eine klare Regelung schuldig. Beim Erfassen von Daten beriefen sich US-amerikanische Geheimdienste bisher auf den so genannten Presidential Directives, also der Exekutivkompetenz des US-Präsidenten. Diese Vorrechte wollten die USA auf keinen Fall zugunsten der EU eingrenzen.

Ob das EU-US Privacy Shield jedoch ein  USP für deutsche Unternehmen werden könnte ist fraglich, Fakt ist, jedoch dass in Deutschland ansässige Unternehmen  bereits seit Jahren sehr strenge datenschutzrechtliche Rahmenbedingungen einzuhalten haben. Schon deshalb wären sie daher ggf. bei der Anpassung ihrer jeweiligen Geschäftsprozesse gegenüber anderen EU-Ländern klar im Vorteil.

Aufgrund der oben geschilderten Sachverhalte erscheint es zum jetzigen Zeitpunkt jedoch empfehlenswert, die Standardvertragsklauseln der EU als Grundlage für die Übermittlung personenbezogener Daten in Drittländer zu wählen.

[/vc_column_text][/vc_column]

© pixabay.com

[/vc_row]