Am 02.02.2016 hat die EU-Kommission verkündet, eine Einigung mit der US-Regierung erzielt zu haben, um personenbezogene Daten von EU-Bürgern, die in die USA übermittelt werden, zu schützen. Obwohl es noch keine schriftliche Vereinbarung gibt, wird das Nachfolgeabkommen zu Safe Harbor bereits jetzt heftig kritisiert. Für Online-Händler gibt es zunächst jedoch gute Neuigkeiten.
Was wir wissen
EuGH erklärt Safe Harbor für ungültig
Am 06.10.2015 hat der europäische Gerichtshof (EuGH) das sog. Safe-Harbor-Abkommen, das als Rechtsgrundlage für die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten dienen sollte, für ungültig erklärt (Rechtssache C 362/14). Folge davon war, dass Datentransfers nicht mehr darauf gestützt werden konnten. Wer Daten seiner Kunden oder Mitarbeiter in die USA übermittelte, entweder weil seine eigenen Server dort stehen, oder weil er Dienstleister nutzt, die Daten nach Amerika übermitteln (z.B. Webtools), musste diesen Transfer seit dem Urteil aus Luxemburg auf andere rechtliche Füße stellen. Alternativen waren vor allem die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln (Binding Corporate Rules – BCR).
Verwendung von Standardvertragsklauseln und BCR bis Ende Januar zulässig
Obwohl beide Optionen ebenfalls datenschutzrechtlichen Bedenken begegnen, stuften zumindest die europäischen Datenschutzbehörden – deren Vertreter zusammen mit dem europäischen Datenschutzbeauftragten die sog. Artikel-29-Datenschutzgruppe bilden – sie als weiterhin zulässig ein. Sie setzten der EU-Kommission jedoch eine Frist, um bereits schwebende Verhandlungen mit den USA über ein Nachfolgeabkommen zu Safe Harbor zeitnah abzuschließen. Diese Frist lief Ende Januar 2016 aus. Danach sollten alle „geeigneten und erforderlichen Maßnahmen“ ergriffen werden, um die Entscheidung des EuGH umzusetzen. Für betroffene Unternehmen hätte das verwaltungsrechtliche Unterlassungsverfügungen und Ordnungsgelder zur Folge gehabt.
02.02.2016: Einigung zwischen EU und USA auf Nachfolgeabkommen
Zwei Tage nach Ablauf der Frist, am 02.02.2016 hat nun die EU-Kommission die Einigung mit der US-Regierung verkündet. Der „EU-US Privacy Shield“ soll künftig für einen angemessenen Schutz europäischer personenbezogener Daten in den USA sorgen. Eine schriftliche Vereinbarung gibt es allerdings noch nicht. Einblicke in den Inhalt der Vereinbarung hatte die EU-Kommission in ihrer Pressemitteilung gegeben und damit bereits reichlich Kritik ausgelöst. Unter anderem von Seiten Max Schrems, dessen Klage gegen den Umgang seiner Daten durch Facebook letztendlich zum Urteil des EuGH geführt hat.
Was wir nicht wissen
Schriftliche Vereinbarung liegt noch nicht vor
Eine schriftliche Version, in der die Vereinbarungen, die zwischen der EU-Kommission und der US-Regierung getroffen wurden, festgehalten sind, gibt es noch nicht. Diese soll in den nächsten Wochen ausgearbeitet werden. Erst dann kann – unter anderem – von der Artikel-29-Datenschutzgruppe geprüft werden, ob die Vorgaben des EuGH eingehalten wurden, der Privacy Shield also ein Datenschutzniveau in den Vereinigten Staaten herstellen kann, das mit dem in Europa vergleichbar ist. Denn das ist die Grundvoraussetzung dafür, dass personenbezogene Daten aus Europa in die USA übermittelt werden dürfen.
Änderungen amerikanischer Gesetze erforderlich
Die Richter aus Luxemburg haben in ihrer Entscheidung vor allem die massenhafte und anlasslose Überwachungstätigkeit der us-amerikanischen Sicherheitsbehörden und Geheimdienste kritisiert. Um personenbezogene Daten aus Europa in den Vereinigten Staaten tatsächlich sicher zu speichern und zu verarbeiten, müssten die amerikanischen Gesetze geändert werden, die einen uneingeschränkten Zugriff auf sie gestatten. Zudem müssten EU-Bürger die Möglichkeit bekommen, Informationen zu den über sie gespeicherten Daten zu erlangen und diese berichtigen oder löschen zu lassen. Auch eine Rechtsschutzmöglichkeit muss ihnen zur Verfügung gestellt werden. Sofern der Privacy Shield diesen Anforderungen nicht gerecht wird, ist es unwahrscheinlich, dass er einer Überprüfung standhält. [Weiterlesen…] about Safe Harbor – Fristverlängerung für Unternehmen