EU-US Privacy Shield ersetzt Safe Harbor

Am 2. Februar 2016 haben sich die Europäische Kommission und die Vereinigten Staaten auf einen neuen Rahmen für die transatlantische Übermittlung von personenbezogenen Daten geeinigt: den EU-US-Privacy Shield (Datenschutzschild). Der Datenschutzschild ist die Antwort auf die Entscheidung des Europäischen Gerichtshofes (EuGH) vom 6. Oktober 2015, mit dem das Gericht das bisher geltende Safe Harbor-Abkommen für unwirksam erklärt hatte. Andreas Mauroschat und Alexander Schumacher von Ashurst bewerten im Folgenden das neue Abkommen und leiten hieraus Handlungsempfehlungen für Unternehmen ab.

Das neue Abkommen sieht strengere Auflagen zum Schutz persönlicher Daten europäischer Bürger vor und überträgt dem US-Handelsministerium und der Federal Trade Commission weitreichende Überwachungs- und Durchsetzungspflichten.

Die Hauptinhalte des Abkommen umfassen:

• US-Vollzugsbehörden und Sicherheitsbehörden erhalten Zugriff auf personenbezogene Daten europäischer Bürger nur nach Maßgabe klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen. Zugriffe sind nur in Ausnahmenfällen zulässig, soweit sie notwendig und verhältnismäßig sind.

• Nach „Privacy Shield““ zertifizierte US-Unternehmen müssen sich öffentlich zur Einhaltung der Bestimmungen europäischer Datenschutzbehörden verpflichten.

• US-Behörden überwachen Einhaltung dieser Verpflichtungen.

• Auch US-Unternehmen, die mit personenbezogenen Daten europäischer Bürger arbeiten, sind verpflichtet, Entscheidungen der europäischen Datenschutzbehörden zu befolgen.

• Im Falle von Beanstandungen oder Verstößen gegen das neue Abkommen können EU-Bürger direkt Beschwerde bei den datenverarbeitenden Unternehmen erheben. Die Unternehmen sind verpflichtet, innerhalb fester Fristen zu antworten.

• Eine neue Ombudsstelle wird Beschwerden von EU-Bürgern in Bezug auf Verletzungen der Persönlichkeitsrechte durch US-Nachrichtendienste und Vollzugsbehörden bearbeiten.

• Die EU-Kommission und das US Department of Commerce werden jährlich gemeinsame Prüfungen der Funktionsfähigkeit des Datenschutzschilds durchführen.

Es ist fraglich, ob der Datenschutzschild den betroffenen Unternehmen die lang ersehnte Rechtssicherheit beim Datenaustausch mit den USA bieten wird. Obwohl die bisher bekanntgewordenen Details noch vage und unvollständig sind, geben diese bereits Anlass zu Bedenken, dass der Datenschutzschild die vom EuGH gesetzten Standards nicht erfüllen wird. Das Gericht hat in seiner Safe Harbor-Entscheidung ausdrücklich klargestellt, dass die „massenhafte, unterschiedslose Überwachung““ durch US-Behörden beschränkt werden und EU-Bürgern ein „effektiver rechtlicher Schutz““ zur Verfügung stehen muss. Um diese Standards zu erfüllen, wird das aktuelle Abkommen noch durch weitere spezifische Bestimmungen untermauert werden müssen.

Wenig überraschend waren die öffentlichen Reaktionen auf den Datenschutzschild. Während Wirtschaftsverbände und Lobbygruppen das Abkommen als ein positives Signal für europäische und US-amerikanische Unternehmen begrüßten, fielen die Reaktionen von Datenschützern überwiegend verhalten aus. Die Mehrzahl der Kommentatoren äußerte die Besorgnis, dass der angekündigte Datenschutzschild die hohen Anforderungen des EuGH nicht wird erfüllen können und lediglich ein „Safe Harbor in neuer Verpackung““ darstelle. Es bleibt daher abzuwarten, ob der Datenschutzschild der gerichtlichen Überprüfung standhalten wird. Der EuGH erhält möglicherweise schon bald eine neue Gelegenheit, die rechtlichen Standards für den transatlantischen Datentransfer zu präzisieren.

Safe Harbor darf mittlerweile nicht mehr eingesetzt werden. Die Art. 29-Datenschutzgruppe hat erklärt, dass die weitere Anwendung von Safe Harbor unzulässig sei und man gegen Unternehmen, die weiterhin auf Safe Harbor setzten, „im Einzelfall““ vorgehen würde. Die Verwendung von Binding Corporate Rules und der EU-Standardvertragsklauseln dagegen werde bis Ende Februar 2016 toleriert. Firmen sollten daher die Umstellung auf diese beiden Mechanismen spätestens jetzt in Betracht ziehen, denn ob es danach weitere Übergangsfristen geben wird, ist derzeit unklar. Darüber hinaus besteht derzeit kein konkreter Handlungsbedarf für Unternehmen. Allerdings könnten kurzfristig Anpassungen der bestehenden Praxis notwendig werden. In den kommenden Wochen wird die EU-Kommission einen „Angemessenheitsbeschluss““ vorlegen, zu welchem die Art. 29-Datenschutzgruppe sowie Vertreter der Mitgliedstaaten angehört werden.

In der Zwischenzeit werden die USA die notwendigen Vorkehrungen zur Umsetzung des neuen Rahmens treffen. Sobald weitere Details bekannt werden, sollten Unternehmen bestehende Strukturen für den Datentransfer im Hinblick auf die neuen Anforderungen untersuchen und entsprechend anpassen. Zu diesem Zweck empfiehlt es sich, robuste und gleichzeitig flexible Regelungen zum Datentransfer zu implementieren, die umgehend an neue Erfordernisse angepasst werden können. Insofern sollten Unternehmen auch unabhängig von der Einführung des Datenschutzschildes über Strategien für den globalen Datentransfer verfügen, um den zukünftigen Herausforderungen des Datenschutzes zu begegnen. Dies gilt insbesondere im Hinblick auf die EU-Datenschutzverordnung, die voraussichtlich im Jahr 2018 in Kraft treten wird.