Donnerstag, 14. Juli 2016

Datenschutz: Privacy Shield löst Safe Harbor ab

Quelle: pixabay.com

Am 12.7.2016 ist das Datenabkommen Privacy Shield nach monatelangen Verhandlungen in Kraft getreten. Notwendig machte die Neuregelung auf EU-Ebene ein Urteil des EuGH (v. 6.10.2015 – C-362/14, AuA 4/16, S. 246), welches das Safe-Harbor-Abkommen mit den USA für unwirksam erklärte.

Das Gericht hatte einen besseren Schutz personenbezogener Daten beim Transfer aus der EU in Richtung USA angemahnt: Die damalige Entscheidung der Kommission (Grundlage des „Safe Harbor“-Abkommens), in der festgestellt wird, dass in den USA ein ausreichendes Schutzniveau von übermittelten personenbezogenen Daten besteht, ist danach ungültig. Sie entziehe den nationalen Datenschutzbehörden die Befugnis, im Streitfall überprüfen zu dürfen, ob die Behauptung einer Person zutrifft, ihre Daten seien nach der Übermittlung nicht in gleicher Weise wie in der EU geschützt. Der Kommission fehlte nach Auffassung der Richter die Kompetenz zur Einschränkung der entsprechenden Befugnisse.

Das Urteil ließ ratlose Unternehmen zurück, die nun nicht wussten, wie sie rechtskonform den Datentransfer gewährleisten sollten. Sie konnten sich zunächst eine Einwilligungserklärung der Betroffenen einholen, wobei eine solche Zusatzvereinbarung etwa für alle Mitarbeiter aufgrund hoher rechtlicher Anforderungen schwierig zu gestalten ist. Eine andere Möglichkeit bestand darin, den datenverarbeitenden Vertragspartner zur Einhaltung eines angemessenen Schutzniveaus im Rahmen von Standardvertragsklauseln zu verpflichten. Problematisch ist in diesem Fall aber die tatsächliche Einhaltung der Regelung in Übersee. Große Konzerne haben schließlich die Möglichkeit, für die Übermittlung in die USA sog. Binding Corporate Rules zu schaffen, die intern an allen Standorten Gültigkeit entfalten und dem europäischen Niveau entsprechen.

Das neue EU-US-"Datenschutzschild" eröffnet nun als wirksame Grundlage eine weitere Option zum rechtssicheren Transfer der Daten. Voraussetzungen sind:

  • die Registrierung des Unternehmens und
  • die (jährlich neu abzugebende) Erklärung, dass beim Datentransfer die entsprechenden rechtlichen Anforderungen eingehalten werden.

Die Regeln und Kontrollmöglichkeiten wurden im Vergleich zum Safe-Harbor Abkommen erheblich verschärft. So prüft etwa das US-Handelsministerium fortlaufend die Einhaltung des Privacy Shields. Auf diesem Wege will man ein massenhaftes Sammeln von Informationen ohne triftigen Grund verhindern.

Kritikern gehen die Regelungen nicht weit genug. Sie sehen den Privacy Shield so wie sein Vorgängerabkommen bereits vor dem EuGH scheitern, während Industrieverbände und EU-Justizkommissarin Vera Jourova davon überzeugt sind, dass nun endlich Rechtssicherheit herscht.