Udo Kraft
Seitdem der EuGH „Safe Harbor“ für ungültig erklärt hat, besteht enorme Rechtsunsicherheit bei der Übermittlung personenbezogener Daten aus Europa in die USA. Klarheit sollte ein neues Datenschutzabkommen zwischen der EU und den Vereinigten Staaten bringen
Am 02.02.2016 hat die EU-Kommission zwar die Einigung mit der US-Regierung verkündet, ob der neue „EU-US Privacy Shield“ jedoch hält, was EU-Justizkommissarin Jourová verspricht, wird bereits jetzt angezweifelt.
Mit seinem Urteil vom 06.Oktober 2015 hat der Europäische Gerichtshof (EuGH) das sog. „Safe-Harbor-Abkommen“ für ungültig erklärt (Rechtssache C 362/14). Wir haben darüber berichtet.
Das Abkommen sollte einen – rechtlich – unkomplizierten Transfer personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten gewährleisten. Hintergrund ist die europarechtliche Vorgabe, dass personenbezogene Daten (Name, Adresse, E-Mail-Adresse usw.) nur dann in Staaten, die nicht Mitglied der EU sind, übermittelt werden dürfen, wenn dort ein Datenschutzniveau herrscht, das mit dem in der EU vergleichbar ist.
Wie die Enthüllungen u.a. von Edward Snowden gezeigt haben, entspricht das amerikanische Datenschutzniveau auf Grund der Zugriffsrechte von Sicherheitsbehörden und Geheimdiensten mitnichten dem europäischen. Daran konnte auch das Safe-Harbor-Abkommen nichts ändern, weshalb der EuGH es gekippt hat. Folge war, das Unternehmen den Transfer von Daten (ihrer Kunden, Nutzer oder Mitarbeiter) von Europa in die USA nicht mehr auf dieses Abkommen stützen durften. Sie mussten Alternativen finden.
Neben Safe Harbor gab es die Möglichkeit, den Datentransfer auf die EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen (Binding Corporate Rules) zu stützen. Obwohl diese Optionen ebenfalls datenschutzrechtlich mehr als bedenklich sind, durften sie auch nach dem Urteil des EuGH genutzt werden. Die Artikel-29-Datenschutzgruppe (die aus je einem Vertreter der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten, dem europäischen Datenschutzbeauftragten und einem Mitglied der EU-Kommission besteht) stufte sie weiterhin als zulässig ein. Eine Datenübermittlung auf einer dieser Grundlagen blieb folglich möglich – bis Ende Januar 2016.
Die Datenschützer haben der EU und den Vereinigten Staaten nach Verkündung des Safe-Harbor-Urteils eine Frist bis zum 31. Januar 2016 gesetzt, um die bereits laufenden Verhandlungen über ein neues Datenschutzabkommen abzuschließen. Danach wollten sie „alle geeigneten und erforderlichen Maßnahmen“ ergreifen, um die EuGH-Entscheidung umzusetzen. Auch die Safe-Harbor-Alternativen sollten dann auf den Prüfstand kommen.
Im Klartext: Unternehmen, die entweder selbst personenbezogene Daten in die USA transferiert haben oder Anbieter nutzten, die das tun (z.B. Webtools zum Newsletter-Versand oder Ähnliches), mussten behördliche Unterlassungsverfügungen und Bußgelder fürchten.
(Grafik: Weissblick / fotolia.com)
Mit zwei Tagen Verspätung hat die EU-Kommission am 02.02.2016 nun verkündet, sich mit der US-Regierung auf ein Nachfolgeabkommen zu Safe Harbor geeinigt zu haben, den „EU-US Privacy Shield“. An der rechtlich unsicheren Situation für Unternehmen ändert das jedoch zunächst nichts. Verbindliche schriftliche Aussagen liegen nämlich noch nicht vor. Eine entsprechende Vereinbarung soll erst in den nächsten Wochen ausgearbeitet werden. Die Artikel-29-Datenschutzgruppe hat der EU-Kommission dafür erneut eine Frist gesetzt.
Bis Ende Februar soll ein Entwurf vorgelegt werden, damit in den folgenden Wochen geprüft werden kann, ob er den Anforderungen, die auch der EuGH in seinem Urteil an ein angemessenes Datenschutzabkommen stellt, gerecht wird.
Der Vorteil für Unternehmen: bis zur Entscheidung der Artikel-29-Gruppe dürfen Daten auch weiterhin auf Grundlage der EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) in die Vereinigen Staaten übermittelt werden. Die Schonfrist wurde also - voraussichtlich bis Ende März - verlängert.
Die gesamte Datenschutzproblematik trifft auch deutsche Online-Händler. Sie müssen überprüfen, ob sie selbst Daten auf Servern in den USA speichern (z.B. weil sie ein Shopsystem verwenden, dessen Server in den Vereinigen Staaten stehen) oder Dienstleister (z.B. Webtools) nutzen, die Daten dorthin übermitteln. Wenn ja darf der Datentransfer nicht mehr auf das für ungültig erklärte Safe-Harbor-Abkommen gestützt werden.
Entsprechende Verträge mit Dienstleistern müssen gekündigt oder zumindest geändert werden.
Ob und wann der transatlantische Datenaustausch auf rechtssicheren Füßen stehen wird, bleibt offen. Kritiker betrachten die Vereinbarungen zum EU-US Privacy Shield, wie sie von der EU-Justizkommissarin Jourová in einer Pressemitteilung in groben Zügen vorgestellt wurden, bereits jetzt als unzureichend. Gefordert wird, dass die US-Regierung die Zugriffsrechte ihrer Sicherheitsbehörden und Geheimdienste beschränkt und EU-Bürgern Klagemöglichkeiten bei Datenschutzverstößen eingeräumt werden. Zwar soll es entsprechende Zusicherungen auf amerikanischer Seite gegeben haben, die konkreten Vereinbarungen müssen jedoch erst noch formuliert werden.
Wie es weitergeht, wird sich zeigen.