17.02.2016 Alice Lasitschka

Update: Die Antwort der Europäischen Kommission und der US-Behörden auf die Entscheidung des EuGH zum "Safe-Harbor"-Abkommen

​Im Oktober hatten wir hier (Blogeintrag vom 16.10.2015) über das EuGH-Urteil zum Safe-Harbor-Abkommen und dessen Auswirkungen auf den internationalen Datentransfer geschrieben. Mittlerweile ist die den EU-Staaten von der Artikel-29-Datenschutzgruppe gesetzte Frist zur Neuregelung des internationalen Datentransfers Ende Januar abgelaufen. Ergebnis der Verhandlungen zwischen der EU und den USA ist das sogenannte „EU-U.S. Privacy-Shield“-Abkommen.

Hintergrund

Aufgrund der Tatsache, dass in den USA kein angemessenes Datenschutzniveau existiert, ist ein Abkommen zwischen der EU und den USA erforderlich, um eine rechtmäßige Übermittlung von Daten zu gewährleisten. Dies ergibt sich aus Art. 25 und 26 der Europäischen Datenschutzrichtlinie (95/46/EG). In der Vergangenheit wurde das angemessene Datenschutzniveau unter anderem durch das Safe-Harbor-Abkommen hergestellt. Dies sah vor, dass sich Unternehmen beim U.S. Department of Commerce (US-amerikanisches Handelsministerium) ihren datenschutzrechtskonformen Umgang mit Daten zertifizieren lassen konnten. Am 6. Oktober 2015 erklärte der Europäische Gerichtshof (Az.: C-362/14) diese Safe-Harbor-Grundsätze für ungültig.


Die Artikel-29-Datenschutzgruppe setzte den EU-Staaten daraufhin eine Frist bis zum 31. Januar 2016, um die rechtlichen Anforderungen für den internationalen Datenaustausch entsprechend anzupassen.

„EU-U.S. Privacy Shield“

Die Europäische Kommission und die USA haben sich auf das Abkommen namens „EU-U.S. Privacy-Shield“ geeinigt, wie die Europäische Kommission in ihrer Pressenachricht vom 2. Februar 2016 mitteilte. Der genaue Inhalt des Abkommens ist noch nicht veröffentlicht. Der genannten Pressemitteilung lassen sich aber die folgenden Eckpunkte entnehmen:

Selbstzertifizierung

Wie unter dem Safe-Harbor-Abkommen sind Unternehmen dazu verpflichtet, sich vom US-amerikanischen Handelsministerium zertifizieren zu lassen. Die Selbstzertifizierung soll veröffentlicht werden, damit sie nach US-Recht von der Federal Trade Commission (US-Bundeshandelskommission) durchgesetzt werden kann. Zusätzlich zu der bereits bekannten Selbstzertifizierung sollen die Unternehmen dazu verpflichtet sein, Entscheidungen der europäischen Datenschutzbehörden nachzukommen. Bei Missachtung drohen den Unternehmen Sanktionen bis hin zur Streichung von der Liste der datenschutzkonformen Unternehmen.

Einschränkung des Zugriffsrechts US-amerikanischer Behörden

Ausschlaggebend für den EuGH, das Safe-Harbor-Abkommen für ungültig zu erklären, war der unkontrollierte Zugriff von US-Behörden auf personenbezogene Daten. Im Rahmen der Verhandlungen zum Privacy-Shield-Abkommen wurde nun vereinbart, dass Behörden nur aus Gründen der Rechtsdurchsetzung und nationalen Sicherheit unter Einhaltung von Schutzvorkehrungen und Transparenzpflichten ein Zugriffsrecht zusteht. Um eine willkürliche Massenüberwachung personenbezogener Daten auszuschließen, sind solche Zugriffe nur ausnahmsweise gestattet und dürfen nur erfolgen, soweit sie notwendig und verhältnismäßig sind.

Gemeinsame Überprüfung

Die Europäische Kommission und das US-amerikanische Handelsministerium verpflichten sich laut des Privacy-Shield-Abkommens dazu, gemeinsam unter Hinzuzuziehung von Sachver¬ständigen der US-Nachrichtendienste und der Europäischen Datenschutzbehörden eine jährliche Überprüfung des Abkommens vorzunehmen.

Rechtsbehelfe

Ein effektiver Schutz der Rechte europäischer Bürgerinnen und Bürgern soll zum einen mit der Möglichkeit geschaffen werden, Beschwerden direkt an die Unternehmen zu richten, die dazu verpflichtet sind, innerhalb bestimmter Fristen zu antworten. Zum anderen sollen europäische Datenschutzbehörden Beschwerden, die sie erreichen, direkt an das US-amerikanische Handelsministerium und die US-Bundeshandelskommission weiterleiten können. Zusätzlich können europäische Bürgerinnen und Bürger mit Unterstützung eines Ombudsmanns in einem kostenlosen Verfahren zur alternativen Streitbeilegung gegen Datenverstöße vorgehen.

Kritik

Zum einen wird der Beginn über die Verhandlungen zu einer Nachfolgevereinbarung zum Safe-Harbor-Abkommen begrüßt. Auch die Einrichtung eines Ombudsmanns und der Rechtsbeschwerdeweg für betroffene EU-Bürgerinnen und -Bürger werden positiv gewertet. Das Privacy-Shield-Abkommen sei ein wichtiger Schritt zu mehr Rechtssicherheit. Ob das Privacy-Shield-Abkommen allerdings tatsächlich zu dem gewünschten Ergebnis führen wird, die europäischen Datenschutzbestimmungen auch in den USA zu wahren und den Datentransfer insgesamt sicherer zu gestalten, müsse man noch abwarten.

 

Kritische Stimmen hingegen sehen in dem Abkommen keine Besserung. So sei, wie schon bei dem Safe-Harbor-Abkommen, der Bereich der nationalen Sicherheit von den Regelungen ausgenommen. Es sei weiterhin unklar, inwieweit die US-Geheimdienste auf Daten von europäischen Unternehmen zugreifen. Ferner gäbe es zwar nun die Möglichkeit, etwaige Rechtsverletzungen im Rahmen eines Beschwerdeverfahrens geltend zu machen, ein ausdrücklich geregeltes Klageverfahren werde jedoch weiterhin vermisst. Auch habe die Vereinbarung keinen Vertragscharakter und sei in den USA nicht gesetzlich verankert.

Folgen und Alternativen

Eine abschließende Prüfung des Privacy-Shield-Abkommens ist erst möglich, sobald der genaue Inhalt bekanntgegeben wird. Ferner muss abgewartet werden, wie das Abkommen in der Praxis umgesetzt wird. Ob das Privacy-Shield-Abkommen den datenschutzrechtlichen Anforderungen entspricht, kann zum jetzigen Zeitpunkt deshalb noch nicht beurteilt werden.

 

Fakt ist jedoch, dass eine Datenübertragung aufgrund des Safe-Harbor-Abkommens nunmehr rechtswidrig ist und Unternehmen entsprechend handeln müssen. Alternative Möglichkeiten zu dem bis dato noch nicht abschließend geprüften Privacy-Shield-Abkommen, stellen derzeit weiterhin die EU-Standardvertragsklauseln, Binding Corporate Rules oder Einwilligungen der Betroffenen dar.

Über den Autor

Alice Lasitschka
Rechtsanwältin
in Duisburg



Kontakt:
Schifferstraße 210
47059 Duisburg
Tel.: +49 (0) 203 300 01-0
Fax: +49 (0) 203 300 01-50

PKFEvents

Veranstaltung

Fussball Charity Cup München 2016

München, 2. Juli 2016

Mandantenveranstaltung

PKF Hintergrundgespräch

Köln, 5. Juli 2016

Aus der Praxis für die Praxis

Erfolgreiche Führungsprinzipien für die Generation Y/Z

Balingen, 13. Juli 2016

weitere Termine...