Am 8. Juli haben die EU-Mitgliedstaaten dem EU-US Privacy Shield mit großer Mehrheit zugestimmt. Die EU-Kommission ist an einigen Stellen auf die Forderungen der Datenschützer, allen voran der Artikel-29-Datenschutzgruppe, eingegangen und hat entsprechende Änderungen vorgenommen. Aufgrund dieser Änderungen hielt der Artikel-31-Ausschuss das abgeänderte EU-US Privacy Shield für zustimmungsfähig.

Die EU-Kommission hat am 12. Juli den Angemessenheits-Beschluss gefasst, mit welchem das EU-US Privacy Shield in Kraft getreten ist. Zu beachten ist, dass es sich bei diesem Beschluss um eine Adäquanzentscheidung handelt, welche nach dem Safe-Harbor-Urteil des EuGH durch die nationalen Datenschutzbehörden im Einzelfall auf die Konformität mit dem geltenden Datenschutzrecht geprüft werden kann.

Die Artikel-29-Datenschutzgruppe hat das EU-US Privacy Shield in einer ersten Stellungnahme akzeptiert, fordert allerdings, dass der vorgesehene jährliche Review des Abkommens genutzt wird, um das Abkommen weiter zu verbessern und bestehende Kritikpunkte auszuräumen.

Seit dem 1. Augst 2016 können sich nunmehr US-Unternehmen bei dem US-Department of Commerce unter dem neuen Schutzschild selbst zertifizieren. Diese Selbstzertifizierung ist im Rahmen einer jährlichen Re-Zertifizierung zu wiederholen. Die Privacy Shield-Liste beginnt sich langsam zu füllen. Größere US-Cloud-Provider sind mittlerweile auf der Liste zu finden.

Praxistipp: Die Kritik an EU-US Privacy Shield reißt nicht ab, sodass nicht auszuschließen ist, dass auch diese neue Angemessenheitsentscheidung der EU-Kommission vom EuGH überprüft und widrigenfalls gekippt wird. Aus Unternehmenssicht bleibt der internationale Datentransfer in die USA und andere unsichere Drittstaaten spannend und die weitere Rechtsentwicklung sollte aufmerksam beobachtet werden.