Die Übermittlung personenbezogener Daten aus der EU in die USA kann seit der Entscheidung des EuGH vom 6. Oktober 2015 nicht mehr auf Grundlage des sog. Safe Harbor Abkommens stattfinden. In seinem Urteil hatte der EuGH die Entscheidung der EU-Kommission (2000/520/EG) aus dem Jahre 2000 verworfen, mit welcher die Kommission US-amerikanischen Unternehmen ein angemessene Datenschutzniveau attestierte, wenn sich diese freiwillig zur Beachtung der zwischen der Kommission und dem US-Handelsministerium ausgehandelten Datenschutzstandards verpflichtet hatten. Um der mit dem Wegfall des Safe Harbor Abkommens einhergehenden Rechtsunsicherheit zu begegnen, haben sich die Europäische Kommission und das US-Handelsministerium unmittelbar im Anschluss an die Entscheidung des EuGH auf den Abschluss eines Nachfolgeabkommens, das EU-US Privacy Shield, verständigt. Der Entwurf wird derzeit von den Aufsichtsbehörden beraten.

Das neue „EU-US Privacy Shield“

Am 2. Februar 2016 wurde das neue EU-US Privacy Shield vorgestellt. Nach Aussage der EU-Kommission seien mit diesem Abkommen die Kritikpunkte des EuGH gegenüber dem Safe Harbor Abkommen ausreichend berücksichtigt. Der EuGH hatte die fehlende Kontrolle der Selbstverpflichtung zur Einhaltung der Datenschutzstandards, die praktisch schrankenlose Massenüberwachung durch US-Behörden und die unzureichende Beachtung der Betroffenenrechte angeprangert.

Auch das neue Abkommen sieht vor, dass US-Unternehmen diesem beitreten können, indem sie sich im Wege der Selbstzertifizierung verpflichten, die im Privacy Shield niedergelegten Prinzipien des Datenschutzes zu beachten. Die Einhaltung dieser Standards durch ein selbstzertifiziertes Unternehmen soll zukünftig jedoch effektiv durch die US-Behörden überwacht und bei festgestellten Verstößen sanktioniert werden. Bei vermuteten Verstößen soll dem EU-Bürger ein unabhängiger Ombudsmann im US-Außenministerium zur Verfügung stehen. Zur kontinuierlichen Überwachung der Vereinbarung soll zudem eine jährliche Überprüfung stattfinden. Weiterhin sieht die neue Vereinbarung nun unter anderem vor, dass die betroffenen Personen über den Grund der Datenerhebung sowie ihre Entscheidungsmöglichkeiten bei über den Erhebungsgrund hinausgehender Datenverarbeitung informiert werden. Unternehmen sind angehalten, verschärfte Sicherungsmaßnahmen gegen den unbefugten Zugriff Dritter zu ergreifen. Eine Weitergabe der personenbezogenen Daten an Dritte wird nur ermöglicht, wenn hierbei ein vergleichbares Datenschutzniveau sichergestellt wird. Die Umsetzung des Privacy Shields soll genau wie das Safe Harbor Abkommen durch einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 25 Abs. 6 RL 95/46/EG erfolgen, welcher bereits als Entwurf vorgelegt wurde.

Ob das neue Privacy Shield den Anforderungen des EuGH jedoch gerecht werden und tatsächlich für ein angemessenes Datenschutzniveau im Empfängerland USA sorgen kann, ist jedoch zweifelhaft. Datenschützer bemängeln insbesondere das Fehlen einer effektiven Begrenzung der massenhaften Überwachung personenbezogener Daten von EU-Bürgern durch US-Sicherheitsbehörden. Auf der Grundlage US-amerikanischer Gesetze bestehe nach wie vor die Möglichkeit zur Massenüberwachung; es fehle jegliche Begrenzung im Sinne einer strengen Zweckbindung und der Wahrung des Verhältnismäßigkeits- und Transparenzgrundsatzes. Zudem erfolge die Überwachung der Selbstzertifizierung weiterhin ausschließlich durch die US-Behörden, welche bereits im Rahmen des Safe Harbor Abkommens dieser Aufgabe nicht in ausreichendem Maße nachgekommen seien. Auch die Einführung eines Ombudsmanns erhöhe den Schutz für die EU-Bürger nicht nachhaltig, da dessen Unabhängigkeit nicht gewährleistet sei und er keine ausreichenden Befugnisse zur Rechtsdurchsetzung habe.

Aus diesen Gründen hat auch der sog. Art. 31-Ausschuss (ein EU-Ausschuss, der Vertreter der Mitgliedstaaten umfasst, die gemeinsame Entscheidungen treffen, wenn – wie bei Angemessenheitsentscheidungen der Kommission – die Zustimmung der Mitgliedsstaaten erforderlich ist), der am 19. Mai 2016 eigentlich grünes Licht für das neue Abkommen geben sollte, bislang keine Freigabe erklärt.

Unser Kommentar

Auf das neue Privacy Shield kann bis zur Angemessenheitsentscheidung der EU-Kommission noch nicht zurückgegriffen werden. Es ist daher (zumindest vorerst) weiterhin erforderlich, im Rahmen des internationalen Datentransfers alternative Garantien zur Herstellung eines angemessenen Datenschutzniveaus heranzuziehen. Hierbei kommen insbesondere der Abschluss der EU-Standardvertragsklauseln oder (für den Datenaustausch im Konzern) Binding Corporate Rules in Betracht.