Hintergrund

Der Europäische Gerichtshof (EuGH) hatte im Oktober 2015 das bisherige Safe Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt. Dieses stand zur Gewährleistung eines hinreichenden, für einen legalen Datentransfer in die USA erforderlichen (vgl. § 4b Abs. 2 BDSG) Datenschutzniveaus seither nicht mehr zur Verfügung. Gestützt auf die Entscheidung des EuGH hatten die europäischen Datenschutzbehörden über ihre gemeinsame Arbeitsgruppe (die sogenannte Art. 29-Datenschutzgruppe) ein Ultimatum für die Umstellung des Datentransfers in die USA gesetzt. Falls es bis zum 31.01.2016 kein den EuGH-Vorgaben entsprechendes Nachfolgeabkommen zu Safe Harbor gebe, würden die Datenschutzbehörden gegen Unternehmen vorgehen, die weiter auf das alte Safe Harbor-Abkommen setzen. Angesichts dessen hatten viele Unternehmen, die sich bisher auf Safe Harbor stützten, auf andere Schutzmechanismen für einen rechtmäßigen Datentransfer umgestellt. Hierbei nutzten sie den Abschluss von Datenschutzvereinbarungen unter Verwendung der von der EU-Kommission genehmigten EU-Standardvertragsklauseln, das von der Art. 29-Datenschutzgruppe (vorläufig) als weiterhin legal anerkannte Vorgehen.

Die Eckpunkte des neuen Abkommens

Welche Anforderungen an den Datentransfer in die USA nach dem neuen Abkommen „Privacy Shield“ zu stellen sind, ist im Detail noch unklar. Die Eckpunkte der neuen Regelungen lassen sich wie folgt skizzieren:

  • Unternehmen in den USA, die sich gemäß „Privacy Shield“ zertifizieren lassen, „müssen sich strengen Pflichten unterwerfen, wie personenbezogene Daten verarbeitet und Persönlichkeitsrechte garantiert werden.“
  • Das US-Handelsministerium wird überwachen und sicherstellen, dass nach „Privacy Shield“ zertifizierte Unternehmen ihre Datenschutzverpflichtungen veröffentlichen und die US Federal Trade Commission wird diese durchsetzen.
  • Nach „Privacy Shield“ zertifizierte Unternehmen müssen sich zudem zur Einhaltung der Vorgaben europäischer Datenschutzbehörden verpflichten.
  • Zertifizierte Unternehmen müssen versuchen, Beanstandungen von EU-Bürgern in Bezug auf die Verarbeitung ihrer personenbezogenen Daten innerhalb einer bestimmten Frist abzuhelfen. Nicht abgeholfene Beschwerden können EU-Bürger den zuständigen Datenschutzbehörden vorlegen, die wiederum das US-Handelsministerium und die US Federal Trade Commission einschalten können. Zudem können EU-Bürger ein für sie kostenfreies Schiedsverfahren einleiten.
  • Es wird strenge Vorgaben für den Zugriff auf personenbezogene Daten durch US-Nachrichtendienste und Vollzugsbehörden in Form klarer Begrenzungen sowie Sicherheits- und Überwachungsmechanismen geben. Diese Mechanismen werden einer jährlichen Überprüfung unterzogen. Für die Behandlung von Beschwerden von EU-Bürgern in Bezug auf Verletzungen der Persönlichkeitsrechte durch US-Nachrichtendienste und Vollzugsbehörden wird ein Ombudsmann eingerichtet.

Handlungsempfehlungen

Obwohl Details des Abkommens noch nicht bekannt sind, ist für internationale Konzerne vorsichtiger Optimismus angebracht. Auf den ersten Blick weist das Abkommen „Privacy Shield“ Ähnlichkeiten zu „Safe Harbor“ im Hinblick auf die konzerninterne grenzüberschreitende Übermittlung personenbezogener Daten auf. Wie immer könnte der Teufel jedoch im Detail des Wortlautes des Privacy Shield-Abkommens liegen. Vor diesem Hintergrund gelten folgende Empfehlungen:

  • Verfolgen Sie die Entwicklungen in der EU-Kommission zu „Privacy Shield“! Zwar wirken die Eckpunkte von Privacy Shield ziemlich ähnlich zum Safe Harbor-Abkommen, jedoch könnten sich aus den Details des noch zu veröffentlichenden Vertragstextes vergleichsweise höhere Anforderungen bzw. schwerwiegendere Rechtsfolgen bei Verstößen ergeben. Um den besten und passenden Weg für einen rechtmäßigen Transfer personenbezogener Arbeitnehmerdaten in die USA zu bestimmen, muss man die Details von „Privacy Shield“ kennen.
  • Verfolgen Sie die Veröffentlichungen der Art. 29-Datenschutzgruppe und europäischen (lokalen) Datenschutzbehörden! In seiner ersten Stellungnahme zu „Privacy Shield“ vom 3. Februar 2016 fordert die Art. 29-Datenschutzgruppe von der EU-Kommission, den Vertragstext zu „Privacy Shield“ bis Ende Februar zur Prüfung vorzulegen. Bis dahin werde man die Verwendung von EU-Standardvertragsklauseln und Binding Corporate Rules für Datentransfers in die USA weiterhin tolerieren, sodann aber einer genaueren Prüfung unterziehen. Gegen Unternehmen, die weiterhin auf „Safe Harbor“ setzten, würde man aber „im Einzelfall“ vorgehen. Dies bedeutet ein weiteres Ultimatum und bekräftigt, dass Unternehmen sich keinesfalls weiter auf Safe Harbor verlassen können. Ob es danach eine weitere Übergangsfrist geben wird, ist unklar. Zudem ist davon auszugehen, dass die Art. 29-Datenschutzgruppe eine wesentliche Rolle bei der Auslegung und Anwendung des Privacy Shield-Abkommens spielen und Entscheidungen bzw. Stellungnahmen hierzu abgeben wird. Damit erhält das Privacy Shield-Abkommen ein dynamisches Element und es ist für dessen Anwendung und die gegebenenfalls erforderliche Anpassung der konzerninternen Datenschutzregelungen unerlässlich, auch diese Entwicklungen zu verfolgen.
  • Keine weitere Anwendung von Safe Harbor in Unternehmen! Unternehmen, die sich (entgegen der Empfehlungen) auch weiterhin auf Safe Harbor verlassen, sollten spätestens jetzt eine Umstellung auf andere Mechanismen in Betracht ziehen. Die Art. 29-Datenschutzgruppe hat in ihrer Stellungnahme vom 3. Februar 2016 nochmals betont, dass man die weitere Verwendung von Safe Harbor nicht tolerieren werde.
  • EU-Standardvertragsklauseln bzw. Binding Corporate Rules als Alternative? Da bislang unklar ist, ob und welche Verschärfungen „Privacy Shield“ im Vergleich zu Safe Harbor haben wird und die weitere Verwendung von Safe Harbor ausscheidet (siehe oben), bleibt die Verwendung von EU-Standardvertragsklauseln oder Binding Corporate Rules derzeit die einzig legale Alternative. Zwar hat die Art. 29-Datenschutzgruppe angekündigt, auch diese einer strengen Prüfung auf die Vereinbarkeit mit dem Vorgaben der EuGH-Rechtsprechung zu unterziehen und stellt diese daher auch in Frage. Allerdings bekräftigt die Art. 29-Datenschutzgruppe, dass man die Verwendung dieser Optionen bis auf Weiteres tolerieren werde, so dass diese beiden Optionen derzeit die einzig legalen Handlungsmöglichkeiten sind. Eine Umstellung auf diese Mechanismen ist daher auch weiterhin empfehlenswert.

Über weitere diesbezügliche Entwicklungen und Handlungsempfehlungen halten wir Sie selbstverständlich auf dem Laufenden.