Bringt der EU-US Privacy Shield Rechtssicherheit?

Worum geht es bei dem EU-US Privacy Shield?

Im Zeitalter der Digitalisierung ist es für etliche Unternehmen eine unabdingbare Voraussetzung, personenbezogene Daten zu erheben und grenzüberschreitend übermitteln zu können. Dies passiert etwa bei der Nutzung von Suchmaschinen, Social Media Plattformen, Online-Shops, aber auch der Nutzung von Personaldaten und selbst im Rahmen von bestimmten Office-Anwendungen.

Das europäische Datenschutzrecht erlaubt die Übermittlung personenbezogener Daten in Drittländer aber nur, wenn diese dort genauso gut geschützt sind wie innerhalb Europas. Nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015, mit dem er das Safe Harbor-Abkommen für unwirksam erklärt hat, ist dies in den USA nicht der Fall.

Jede Übermittlung personenbezogener Daten in die USA auf Basis des Safe Harbor-Abkommens ist damit seit Oktober letzten Jahres rechtswidrig. Auf politischer Ebene wird daran gearbeitet, ein Nachfolge-Abkommen zu Safe Harbor zu schaffen. Eine politische Einigung auf einen neuen Rechtsrahmen zum transatlantischen Datenfluss hat die EU-Kommission jetzt am 2. Februar verkündet: Der EU-US Privacy Shield.

Was sieht der EU-US Privacy Shield vor?

Das neue Abkommen soll strenge Verpflichtungen für datenimportierende US-Unternehmen hinsichtlich der Verarbeitung personenbezogener Daten enthalten. So soll der behördliche Zugriff auf personenbezogene Daten beschränkt und entsprechende Schutzmaßnahmen und Aufsichtsmechanismen einführt werden. Auch die Rechte der EU-Bürger sollen zukünftig effektiv geschützt werden, etwa durch kostenfreie alternative Schiedsverfahren und die Einführung eines Ombudsmanns für Beschwerden gegen Zugriffe durch nationale Sicherheitsbehörden.

Wichtig ist: Der Privacy Shield ist nur eine politische Absichtserklärung. Eine Entwurfsvorlage für die Entscheidung (adequacy decision) muss in den kommenden Wochen erst noch vorbereitet werden. In der konkreten Umsetzung werden noch viele Fragen zu klären sein.

Wie sind die Reaktionen auf den Privacy Shield?

Unternehmen begrüßen die politische Einigung zwischen der EU und den USA. Nachdem die Datenschutzbehörden betroffenen Unternehmen eine Schonfrist zur Umstellung ihrer transatlantischen Datenübermittlungsprozesse auf datenschutzkonforme Lösungen bis Ende Januar 2016 gesetzt haben, wird ein neues Abkommen förmlich herbeigesehnt.

Datenschützer und Teile der Öffentlichkeit reagierten aber bisher skeptisch. Die in der Art.-29-Datenschutzgruppe organisierten Datenschutzbehörden haben schnell auf die Vorstellung des Privacy Shields reagiert und mehrere Punkte benannt, die ein neues Abkommen enthalten müsste: Die Betroffenen müssen über den Verbleib ihrer Daten im Voraus informiert werden und ein Zugriff auf diese Daten dürfe nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit zugelassen werden. Dies müsse ein unabhängiger, mit den nötigen Befugnissen ausgestatteter Dritter überwachen. Betroffene müssten ihre Rechte vor einer unabhängigen Stelle durchsetzen können.

Die Ankündigung des EU-US Privacy Shield kann nur ein erster Schritt sein. Weiteren Zündstoff könnte ein Rechtsstreit liefern, den Microsoft derzeit in den USA führt und der sich mit Pflichten von Unternehmen zur Herausgabe von Daten an US-Sicherheitsbehörden befasst. Das Urteil des befassten Gerichts könnte ähnlich weitreichende Folgen wie das Safe Harbor-Urteil des EuGH haben und die Zukunft des EU-US Privacy Shields beeinflussen.

Können sich die Unternehmen jetzt zurücklehnen?

Die Risikolage hat sich durch die Verkündung des EU-US Privacy Shield nicht wesentlich verändert. Der EU-US Privacy Shield ist bisher eine politische Absichtserklärung und keine Rechtsgrundlage zur Übermittlung personenbezogener Daten in die USA. Ob und wann ein neues Abkommen in Kraft treten wird, ist unklar.

Deutsche Datenschutzbehörden scheinen dem Vernehmen nach in Reaktion auf die jüngsten Ereignisse die Schonfrist weiter verlängern zu wollen. Ob sich eine einheitliche Auffassung durchsetzt, bleibt abzuwarten. Wir gehen davon aus, dass – wie etwa bereits in Rheinland-Pfalz geschehen – Unternehmen zunächst zu ihrer Datenschutzpraxis gehört werden und erst auf dieser Grundlage weitere Entscheidungen ergehen werden.

Unabhängig von der Reaktion der Aufsichtsbehörden auf die aktuellen Entwicklungen besteht weiter das Risiko, dass Mitbewerber, Verbraucherschutzbehörden, Verbände oder Betroffene mit Abmahnungen, Unterlassungsverfügungen und Unterlassungsklagen gegen den rechtswidrigen Umgang mit personenbezogenen Daten vorgehen. Das kürzlich eingeführte Verbandsklagerecht hat dieses Risiko weiter erhöht.

Wichtig ist: Die Übermittlung personenbezogener Daten in die USA auf Basis des Safe Harbor-Abkommens ist rechtswidrig. Im Falle des rechtswidrigen Umgangs mit personenbezogenen Daten drohen unter anderem Bußgelder von mehreren hunderttausend Euro. Im Übrigen hat die Art.-29-Datenschutzgruppe angekündigt, auch die viel diskutierten Alternativen wie etwa die EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules genauer untersuchen zu wollen. Auch diese Alternativen stehen derzeit unter Vorbehalt.

Was raten Sie Unternehmen?

Wir empfehlen unseren Mandanten daher, ihre Datenschutzorganisation auf den Prüfstand zu stellen. Wer bisher noch nicht geprüft hat, ob sein (grenzüberschreitender) Umgang mit personenbezogenen Daten den regulatorischen Anforderungen des Datenschutzes entspricht, sollte das jetzt nachholen. Im Zeitalter der Digitalisierung zwingen die dynamischen Veränderungen im Bereich Datenschutz generell dazu, jetzt aktiv zu werden.