Artikelserie „Compliance im Mittelstand" – Teil 5

Der EU-US Privacy-Shield

Am 2. Februar 2016 haben sich die EU-Kommission und die USA auf neue Regeln für den Transfer personenbezogener Daten geeinigt. Das neue Regelwerk mit dem Namen „EU-US Privacy-Shield“ ersetzt das frühere Safe-Harbor-Abkommen der EU-Kommission, das durch den Europäischen Gerichtshof im Oktober 2015 gekippt wurde.

Das frühere Safe-Harbor-Abkommen zwischen EU und USA wird durch das neue Regelwerk EU-US Privacy-Shield ersetzt. - Foto: © Ralf Kalytta - Fotolia.com
Das frühere Safe-Harbor-Abkommen zwischen EU und USA wird durch das neue Regelwerk EU-US Privacy-Shield ersetzt. - Foto: © Ralf Kalytta - Fotolia.com

Das Safe-Harbor-Urteil hat in der Unternehmenspraxis für große Unsicherheit gesorgt, da Datenübermittlungen in die USA, etwa an dort niedergelassene Konzernunternehmen oder Daten-Clouds, eine wichtige Rechtsgrundlage auf einen Schlag entzogen wurde. Ausgangspunkt für die Entscheidung war die Beschwerde eines Internetdienste-Nutzers gegen die Übermittlung seiner Daten in die Vereinigten Staaten. In seinem Urteil hielt der EuGH fest, dass „Safe-Harbor“ nicht in der Lage sei, ein angemessenes Datenschutzniveau in den USA sicherzustellen.

Datenschützer verlängern Ultimatum

In Reaktion auf das Urteil hatte die sogenannte Artikel-29-Datenschutzgruppe – ein Beratungsgremium der EU-Kommission, das aus den nationalen Datenschutzbehörden gebildet wird – zunächst ein Ultimatum bis Ende Januar 2016 gesetzt. Sollte es bis dahin keine politische Einigung geben, würden die Aufseher auch gegen unbefugte Datentransfers vorgehen, die auf der Grundlage anderer, im Lichte des EuG-HUrteils ebenfalls umstrittener Rechtsinstrumente erfolgen. Dazu zählen zum Beispiel EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR). Mit der Ankündigung des neuen Privacy-Shield-Abkommens hatte die Gruppe ihre Stillhaltefrist noch einmal bis Ende Februar 2016 verlängert.

Eckpunkte des „EU-US Privacy-Shield“

Am 29. Februar 2016 hat die EU-Kommission das Legislativpaket zum neuen Datenschutzschild vorgelegt. Vorgesehen ist unter anderem eine verstärkte Überwachung von US-Unternehmen, die sich nicht nur der Kontrolle der zuständigen US-Behörden unterwerfen, sondern im Fall der Verarbeitung von Personaldaten auch Empfehlungen der europäischen Datenschutzbehörden folgen müssen. Eine willkürliche Massenüberwachung persönlicher Daten durch den US-Staat soll ausgeschlossen sein. EU-Bürgern soll effektiver Rechtsschutz eingeräumt werden. Der neue Rechtsrahmen muss noch geprüft und unterzeichnet werden, was einige Zeit dauern kann. Bis dahin empfehlen Datenschutzrechtler, für den Datentransfer in Drittländer Alternativen wie die EU-Standardverträge zu nutzen sowie auf Daten-Clouds in der EU zurückzugreifen.

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

Dr. Tobias Brouwer

E-Mail: brouwer@vci.de