Am vergangenen Freitag haben die EU-Staaten der Artikel 31 Gruppe ihre Zustimmung zum neusten Entwurf des EU-US Privacy Shield Abkommens erteilt. Damit ist der Weg frei und am morgigen Dienstag soll die finale Version des Beschlusses unterzeichnet werden. Zur Diskussion steht nun, ob mit der Umsetzung des Privacy Shields endlich eine praxistaugliche Alternative zum Safe Harbor-Abkommen geschaffen wurde und damit die bisher bestehenden Rechtsunsicherheiten beim internationalen Datentransfer beseitigt sind.
Der Inhalt im Überblick
Wie ist die aktuelle Rechtslage nach Safe Harbor?
Für ein Großteil der global agierenden Unternehmen ist die Übermittlung personenbezogener Daten in die USA Teil des alltäglichen Geschäftes. Nachdem das Safe Harbor-Abkommen durch den EuGH als für unvereinbar mit dem europäischen Datenschutz erklärt wurde, ist damit auch die am häufigsten herangezogene Rechtsgrundlage für die Legitimierung des Datentransfers in die Vereinigten Staaten weggefallen. Damit sind nun viele Unternehmen mit dem Prozess der Umstrukturierung des internationalen Datentransfers konfrontiert. Die bisher einzig verbleibende Möglichkeit, den Prozess legal zu gestalten, ist der Abschluss von EU-Standardvertragsklauseln. Das Verfahren ist von den Datenschutzbehörden gebilligt, geht aber mit einem erheblichen bürokratischen Aufwand einher. Gepaart mit dem zeitlichen Aufwand besteht das Risiko, dass nicht jedes datenimportierende Unternehmen dazu bereit ist, eine solche Vereinbarung zu unterzeichnen und in diesem Falle als Vertragspartner grundsätzlich nicht mehr in Frage kommt.
In der Praxis stößt der internationale Datentransfer damit an seine Grenzen. Das sieht auch die Europäische Kommission und ist daher bemüht, mit dem Privacy Shield eine neue praxistaugliche Regelung zu schaffen.
Ist das Privacy Shield nun Rechtsgrundlage für den Datentransfer?
Ziel der EU-Kommission ist, mit dem Privacy Shield eine rechtssichere Grundlage für den Datentransfer in die USA zu schaffen. Dazu kann bereits Folgendes gesagt werden:
- Das Privacy Shield ist keine pauschale Rechtsgrundlage für den internationalen Datentransfer. Ähnlich wie Safe Harbor setzt es voraus, dass sich datenimportierende Unternehmen nach den zum Privacy Shield festgelegten Bedingungen zertifizieren. Nur wenn ein Unternehmen eine aktuelle Zertifizierung vorweisen kann, kann das Privacy Shield auch den Datentransport in die USA legitimieren.
- An dieser Stelle bleibt zu beobachten, wie sich die nationalen Datenschutzbehörden zum Privacy Shield verhalten werden. Davon betroffen sind besonders Vorgaben zu speziellen Kontroll- und Dokumentationspflichten.
Sind Kritikpunkte und Zweifel nun beseitigt?
Nach Bekanntwerden des baldigen Inkrafttretens des Privacy Shield äußerten sich viele Stimmen positiv. Bundeswirtschaftsminister Sigmar Gabriel und die Sprecherin des Digitalverband Bitcom, Susanne Dehmel, befürworten das Privacy Shield vor dem Hintergrund der Schaffung einer größerer Rechtssicherheit für Unternehmen. Hervorgehoben werden dabei die vorgenommenen Verbesserungen des Privacy Shields hinsichtlich Löschfristen und Regelungen zur Weitergabe der Daten an Dritte.
Obwohl Entwurf zum Privacy Shield nach heftiger Kritik angepasst wurde, bleiben Zweifel an der Erreichung eines angemessenen Datenschutzniveaus weiterhin bestehen. Die Deutsche Vereinigung für Datenschutz (DVD) äußerte sich letzte Woche weiterhin kritisch:
„Die gegenüber dem Entwurf von Ende Februar vorgenommenen Änderungen für den transatlantischen Transfer von personenbezogenen Daten sind marginal geblieben. Sämtliche zentralen Argumente, weshalb das geplante EU-US Priacy Shield mit europäischen Grundrechten und der Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Widerspruch stehen, gelten weiter:
- In den USA werden Betroffenenrechte und Zweckbindung der übermittelten Daten nicht effektiv gewährleistet.
- Die Datenschutzkontrolle in den USA ist nicht unabhängig und bleibt ungenügend.
- Der undifferenzierte Datenzugriff der Sicherheits- und Geheimdienstbehörden macht die Menschen zu rechtlosen Objekten unkontrollierten Data-Minings.
- In den USA gibt es keinen wirksamen Rechtsschutz gegen Verletzungen der Grundrechte auf Datenschutz und auf Schutz der Vertraulichkeit der Kommunikation.“
Auch Jan Philipp Albrecht kritisierte die Nachbesserungen als rein kosmetisch.
Führt das Privacy Shield nun zur vollständigen Rechtssicherheit?
Auch nach Umsetzung des Privacy Shield bestehen weiter erhebliche Zweifel, ob eine dauerhafte Lösung für den Datentransfer in die USA geschaffen wurde. Unsicherheiten bestehen vor allem im Zusammenhang mit der Befürchtung, dass das Privacy Shield in Zukunft das gleiche Schicksal erleidet wie sein Vorgänger Safe Harbor und vom EuGH für unzulässig erklärt wird. Aufgrund der lauten kritischen Stimmen zum Privacy Shield kann sich durchaus die berechtigte Frage gestellt werden, ob eine Berufung auf das Abkommen in Zukunft aus datenschutzrechtlicher Sicht ausreichend sein wird.
Rechtlich gesehen handelt es sich bei dem Privacy Abkommen um einen Beschluss der EU-Kommission, der in diesem Sinne grundsätzlich rechtsverbindlich ist. Damit kann er für die Zeit seines Bestehens auch als Rechtsgrundlage herangezogen werden.
Aus Unternehmenssicht dürfte es allerdings überwiegend darum gehen, eine auch langfristig tragende Praxis zum internationalen Datenverkehr zu etablieren. Vor diesem Hintergrund müssen die weiteren Entwicklungen abgewartet werden. Längerfristig gesehen lohnt sich daher weiterhin der Abschluss von EU-Standardvertragsklauseln zur Schaffung einer bewährten Rechtsgrundlage.
Fazit
Eine sichere Zukunftsprognose kann nach dem momentanen Sachstand noch nicht getroffen werden. Es gilt also weiterhin, die aktuelle Entwicklungen und Stellungnahmen der Aufsichtsbehörden im Auge zu behalten. Über Neuigkeiten werden wir Sie weiterhin in unserem Blog informieren!
