Am 02.02.2016 hat die EU-Kommission verkündet, eine Einigung mit der US-Regierung erzielt zu haben, um personenbezogene Daten von EU-Bürgern, die in die USA übermittelt werden, zu schützen. Obwohl es noch keine schriftliche Vereinbarung gibt, wird das Nachfolgeabkommen zu Safe Harbor bereits jetzt heftig kritisiert. Für Online-Händler gibt es zunächst jedoch gute Neuigkeiten.
Was wir wissen
EuGH erklärt Safe Harbor für ungültig
Am 06.10.2015 hat der europäische Gerichtshof (EuGH) das sog. Safe-Harbor-Abkommen, das als Rechtsgrundlage für die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten dienen sollte, für ungültig erklärt (Rechtssache C 362/14). Folge davon war, dass Datentransfers nicht mehr darauf gestützt werden konnten. Wer Daten seiner Kunden oder Mitarbeiter in die USA übermittelte, entweder weil seine eigenen Server dort stehen, oder weil er Dienstleister nutzt, die Daten nach Amerika übermitteln (z.B. Webtools), musste diesen Transfer seit dem Urteil aus Luxemburg auf andere rechtliche Füße stellen. Alternativen waren vor allem die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln (Binding Corporate Rules – BCR).
Verwendung von Standardvertragsklauseln und BCR bis Ende Januar zulässig
Obwohl beide Optionen ebenfalls datenschutzrechtlichen Bedenken begegnen, stuften zumindest die europäischen Datenschutzbehörden – deren Vertreter zusammen mit dem europäischen Datenschutzbeauftragten die sog. Artikel-29-Datenschutzgruppe bilden – sie als weiterhin zulässig ein. Sie setzten der EU-Kommission jedoch eine Frist, um bereits schwebende Verhandlungen mit den USA über ein Nachfolgeabkommen zu Safe Harbor zeitnah abzuschließen. Diese Frist lief Ende Januar 2016 aus. Danach sollten alle „geeigneten und erforderlichen Maßnahmen“ ergriffen werden, um die Entscheidung des EuGH umzusetzen. Für betroffene Unternehmen hätte das verwaltungsrechtliche Unterlassungsverfügungen und Ordnungsgelder zur Folge gehabt.
02.02.2016: Einigung zwischen EU und USA auf Nachfolgeabkommen
Zwei Tage nach Ablauf der Frist, am 02.02.2016 hat nun die EU-Kommission die Einigung mit der US-Regierung verkündet. Der „EU-US Privacy Shield“ soll künftig für einen angemessenen Schutz europäischer personenbezogener Daten in den USA sorgen. Eine schriftliche Vereinbarung gibt es allerdings noch nicht. Einblicke in den Inhalt der Vereinbarung hatte die EU-Kommission in ihrer Pressemitteilung gegeben und damit bereits reichlich Kritik ausgelöst. Unter anderem von Seiten Max Schrems, dessen Klage gegen den Umgang seiner Daten durch Facebook letztendlich zum Urteil des EuGH geführt hat.
Was wir nicht wissen
Schriftliche Vereinbarung liegt noch nicht vor
Eine schriftliche Version, in der die Vereinbarungen, die zwischen der EU-Kommission und der US-Regierung getroffen wurden, festgehalten sind, gibt es noch nicht. Diese soll in den nächsten Wochen ausgearbeitet werden. Erst dann kann – unter anderem – von der Artikel-29-Datenschutzgruppe geprüft werden, ob die Vorgaben des EuGH eingehalten wurden, der Privacy Shield also ein Datenschutzniveau in den Vereinigten Staaten herstellen kann, das mit dem in Europa vergleichbar ist. Denn das ist die Grundvoraussetzung dafür, dass personenbezogene Daten aus Europa in die USA übermittelt werden dürfen.
Änderungen amerikanischer Gesetze erforderlich
Die Richter aus Luxemburg haben in ihrer Entscheidung vor allem die massenhafte und anlasslose Überwachungstätigkeit der us-amerikanischen Sicherheitsbehörden und Geheimdienste kritisiert. Um personenbezogene Daten aus Europa in den Vereinigten Staaten tatsächlich sicher zu speichern und zu verarbeiten, müssten die amerikanischen Gesetze geändert werden, die einen uneingeschränkten Zugriff auf sie gestatten. Zudem müssten EU-Bürger die Möglichkeit bekommen, Informationen zu den über sie gespeicherten Daten zu erlangen und diese berichtigen oder löschen zu lassen. Auch eine Rechtsschutzmöglichkeit muss ihnen zur Verfügung gestellt werden. Sofern der Privacy Shield diesen Anforderungen nicht gerecht wird, ist es unwahrscheinlich, dass er einer Überprüfung standhält.
Was betroffene Unternehmen wissen müssen
Seit der Entscheidung des EuGH Anfang Oktober 2015, mit der er das Safe-Harbor-Abkommen für ungültig erklärt hat, besteht bei der Übermittlung personenbezogener Daten in die USA erhebliche Rechtsunsicherheit. Bis Ende Januar hatten die europäischen Datenschutzbehörden der EU-Kommission und den Vereinigten Staaten Zeit gegeben, sich auf ein Nachfolgeabkommen zu einigen. Ein Datentransfer auf Grundlage der EU-Standardvertragsklauseln und verbindlicher Unternehmensregeln sollte in der Zwischenzeit zulässig bleiben.
Mit zwei Tagen Verspätung wurde nun eine Einigung verkündet, die jedoch noch nicht schriftlich festgehalten ist. Die Artikel-29-Datenschutzgruppe fordert die Vorlage entsprechender Schriftstücke bis Ende Februar. Sie will dann prüfen, ob die Vereinbarungen den Vorgaben des EuGH gerecht werden. Bis zu ihrer Entscheidung dürfen auch weiterhin die Safe-Harbor-Alternativen genutzt werden. Die Schonfrist für Unternehmen wird also noch einmal – voraussichtlich – bis März verlängert.
Das Wichtigste im Überblick
- EU und USA haben sich auf ein neues Datenschutzabkommen geeinigt: EU-US Privacy Shield
- Die Vereinbarungen sind noch nicht schriftlich festgehalten
- Die europäischen Datenschutzbehörden fordern die Vorlage entsprechender Schriftstücke bis Ende Februar
- Die Vereinbarung soll anschließend überprüft werden, ob sie den Vorgaben des EuGH entspricht
- Bis zu dieser Entscheidung dürfen die EU-Standardvertragsklauseln und BCR weiterhin verwendet werden, um Daten aus Europa in die USA zu übermitteln
- Ein Datentransfer auf Grundlage von Safe Harbor ist seit der Entscheidung des EuGH am 06.10.2015 unzulässig