Wie wir vor Kurzem bereits berichteten hat die EU-Kommission am 2. Februar 2016 eine Neuauflage des Safe Harbor-Abkommens in Form des „EU-US Privacy Shield“ angekündigt. Die Artikel-29-Datenschutzgruppe, das Beratungsgremium der EU in Datenschutzfragen, welches sich aus den Vertretern der nationalen Aufsichtsbehörden der Mitgliedsstaaten zusammensetzt, hat sich hierzu am 3. Februar 2016 geäußert. Auf einer Veranstaltung bei TaylorWessing in München hat Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, die Hintergründe heute weiter erläutert.

Was ist der Hintergrund?

Nachdem das Safe Harbor-Abkommen vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2015 für ungültig erklärt wurde, hatte die Artikel-29-Datenschutzgruppe am 16. Oktober 2015 zu den Folgen des EuGH-Urteils Stellung genommen und der Europäischen Kommission eine Frist zur Verhandlung eines neuen Abkommens sowie sich selbst eine Frist zur rechtlichen Überprüfung der Alternativmechanismen zur Rechtfertigung von EU-US Datentransfers bis Ende Januar 2016 gesetzt. Mit Ablauf dieser Frist hat die EU-Kommission mitgeteilt, dass ein Übereinkommen getroffen worden sei, welches die in dem EuGH-Urteil gestellten Anforderungen an eine datenschutzkonforme Übermittlung von personenbezogenen Daten in die USA beachte.

Was bedeutet die Einigung auf das EU-US Privacy Shield?

Nach Angaben der EU-Kommission solle das EU-US Privacy Shield im Wege einer Angemessenheitsentscheidung nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie – wie zuvor Safe Harbor – umgesetzt werden. Ein wesentlicher Bestandteil sei dabei die Sicherstellung der Rechte der EU-Bürger gegenüber US-Unternehmen. Das bedeute unter anderem, dass die Zugriffe durch US-Behörden Beschränkungen unterliegen. Diesbezüglich gibt die EU-Kommission an, entsprechende schriftliche Zusagen der USA erhalten zu haben. Um die Einhaltung der Vereinbarungen aus dem EU-US Privacy Shield dauerhaft sicherzustellen, soll es zudem eine gemeinsame jährliche Prüfung der Umsetzung der Vereinbarung geben. Ferner soll es einen Ombudsmann beim US-Außenministerium geben, der Beschwerden gegen Zugriffe von Geheimdiensten entgegen nehmen kann.  Die Erstellung der Angemessenheitsentscheidung für das EU-US Privacy Shield soll nach Angaben der EU-Kommission in den nächsten Monaten erfolgen und der Artikel-29-Datenschutzgruppe zur weiteren Beratung vorgelegt werden. Während dieser Zeit erwartet die EU-Kommission, dass die USA die o.g. Maßnahmen entsprechend umsetzen.

Was sagen die Datenschutzaufsichtsbehörden?

Die Artikel-29-Datenschutzgruppe hat die Einigung zwischen den USA und der EU begrüßt und die EU-Kommission gebeten, entsprechende Dokumente über die neue Vereinbarung bis Ende Februar 2016 zu Verfügung zu stellen. Diese Dokumente sollen dann im Zuge der anstehenden Adäquanzentscheidung geprüft werden. Es werde eine Stellungnahme der Artikel-29-Datenschutzgruppe hierzu geben. Bis zum Ergebnis dieser Prüfung sollen andere Instrumente zur Herstellung eines sicheren Datenschutzniveaus, wie Standardvertragsklauseln oder Binding Corporate Rules, weiterhin genutzt werden dürfen. Nach diesem Zeitraum wird die Artikel-29-Datenschutzgruppe in Erwägung ziehen, ob auch diese Instrumente ggfs. für US-Datentransfers nicht (mehr) in Frage kommen. Gegen Übermittlungen auf Basis des Safe Harbor-Abkommens werden die Datenschutzbehörden im Wege von Einzelfallentscheidungen vorgehen.

Was bedeutet dies für Unternehmen in Deutschland?

Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, teilte heute mit, dass sich die deutschen Aufsichtsbehörden Ende Februar zur weiteren Besprechung treffen werden. Das Verfahren zur Erstellung einer Angemessenheitsentscheidung werde nach Einschätzung der EU-Kommission jedoch circa drei Monate in Anspruch nehmen. Für Unternehmen in Deutschland bedeutet dies, dass die Schonfrist hinsichtlich Safe Harbor endgültig vorbei ist. Bis zum Erlass einer Stellungnahme der Artikel-29-Datenschutzgruppe – die voraussichtlich erst deutlich nach Ende Februar 2016 erfolgen dürfte und zwar nicht rechtlich bindend, für die nationalen Aufsichtsbehörden jedoch orientierend ist – können jedoch Datenübermittlungen in die USA weiterhin auf Standardvertragsklauseln oder Binding Corporate Rules gestützt werden.