EU-US Privacy Shield beschlossen – Geltung ab 01.08.2016
Das EU-US Privacy Shield wurde am 12.07.2016 durch die Europäische Kommission verabschiedet. Es soll zum 1. August 2016 in Kraft treten und das ehemalige Safe Harbor-Abkommen ersetzen, das vom Europäischen Gerichtshof (EuGH) für ungültig erklärt worden war (Urteil v. 06.10.2015 – Az. C-362/14). Das neue Privacy Shield soll die Vorgaben des EuGH möglichst weitgehend umsetzen und Unternehmen eine neue Möglichkeit zu Datentransfers in die USA ermöglichen. Allerdings gibt es weiterhin vielfache Kritik an der Effektivität der Regelungen und der mangelnden Umsetzung der gerichtlichen Vorgaben.
Das EU-US Privacy Shield ist ein Fortschritt gegenüber dem ehemaligen Safe Harbor-Abkommen, dessen Effektivität kaum überprüft werden konnte und das vielfach nicht ordentlich umgesetzt worden war. Das neue Privacy Shield adressiert einige Vorgaben durch den EuGH und Kritik der Aufsichtsbehörden. Zu begrüßen ist u.a., dass das Privacy Shield die folgenden Grundsätze stark betont:
- Verstärkte Verpflichtungen an US-Unternehmen im Hinblick auf Verarbeitung personenbezogener Daten, insbesondere durch regelmäßige Überprüfungen der teilnehmenden US-Unternehmen.
- Schutz individueller Rechte durch Wahrnehmung der Betroffenenrechte durch kostenlose Streitschlichtungsmechanismen, einem Beschwerdeverfahren bei den nationalen Datenschutzbehörden sowie der Einrichtung einer Ombudsperson.
- Jährlicher Überprüfungsmechanismus der Effektivität durch EU-Kommission und US-Handelsministerium.
Insofern ist das neue Abkommen zweifelsfrei ein Schritt vorwärts gegenüber Safe Harbor. Da es sich um eine Angemessenheitsentscheidung der EU-Kommission handelt, kann diese gem. Art. 25 Abs. 6 EU-Datenschutzrichtlinie (DSRL) (künftig Art. 45 Abs. 1 DSGVO) derzeit eingesetzt werden. Allerdings besteht das Risiko, dass der EuGH das EU-US Privacy Shield überprüfen und zu einer erneuten Unwirksamkeit kommen wird.
Zu kritisieren an dem Abkommen ist insbesondere, dass der Zugriff durch US-Sicherheitsbehörden auf die personenbezogenen Daten der EU-Bürger nur gering eingeschränkt wird. Die Einschränkung der Zugriffe von Sicherheitsbehörden beschränkt sich auf Briefe und Versicherungen der USA. Daher bleibt einer der Hauptkritikpunkte des EuGHs nur unzureichend berücksichtigt.
Unsere Empfehlung zum EU-US Privacy Shield
Es ist zwar zu begrüßen, ein Nachfolger von Safe Harbor verhandelt wurde, in dem viele Kritikpunkte seitens der Aufsichtsbehörden sowie des Europäischen Gerichtshofes aufgegriffen werden. Dennoch befürchten wir, dass der Europäische Gerichtshof bei einer Überprüfung des Privacy Shields die im Safe Harbor-Urteil gemachten Vorgaben als nicht eingehalten ansehen wird, insbesondere aufgrund der weiterhin kaum beschränkten Zugriffe durch US-Sicherheitsbehörden.
Wir sehen das große Risiko, dass das EU-US Privacy Shield in wenigen Jahren erneut durch den Europäischen Gerichtshof für ungültig erklärt werden wird oder die Datenschutz-Aufsichtsbehörden dieses nicht anerkennen werden. Unsere Empfehlung ist daher die gleiche wie zu Zeiten der Geltung des Safe Harbor-Abkommens: Unternehmen sollten soweit als möglich ihre Datentransfers in die USA auf EU-Standard-Vertragsklauseln oder sonstige Mechanismen nach der Datenschutzgrundverordnung (beispielsweise Zertifizierungen oder Code of Conducts) stützen.
Gerne beraten wir Sie bei der rechtskonformen Ausgestaltung von Datentransfers in die USA. Bitte wenden Sie sich an: Dr. Stefan Drewes, , 0228-90248070.