Endlich Land in Sicht?

Eckpunkte des „EU-US-Privacy-Shields“

Nun kündigte die EU-Kommission ein neues Regelwerk an, das unter dem Titel „EU-US-Privacy-Shield“ folgende Eckpunkte beinhalten soll:

• Das von Safe Harbor bekannte Grundprinzip der Selbstzertifizierung bleibt erhalten, wobei die konkreten Datenschutzprinzipien, auf deren Einhaltung sich US-Unternehmen verpflichten können, noch unbekannt sind; die Aufsicht hierüber obliegt der Federal Trade Commission, bei Beschäftigtendaten sollen allerdings zusätzlich europäische Aufsichtsbehörden zuständig sein.

• Darüber hinaus wird von US-Seite zugesichert, den Zugriff von US-Geheimdiensten auf transatlantische Datenflüsse zu beschränken; dies soll durch eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sichergestellt werden.

• Zudem sind erweiterte Rechtsschutzmöglichkeiten für EU-Bürger geplant; diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden können, zum anderen sollen im Wege des sog. Judicial Redress Act auch Rechtsschutzmöglichkeiten von EU-Bürgern in den USA ermöglicht werden.

Erste Reaktionen und weiterer Prozess

Auch wenn es in der Sache also nicht viel Neues gibt, haben die Pläne bereits zahlreiche kritische Reaktionen von Datenschützern hervorgerufen; von einem „Affront“, „Witz“ oder gar „Bullshitbingo“ war hier die Rede. Darüber hinaus hat sich auch die sogenannte Artikel-29-Datenschutzgruppe (Berater mit Vertretern der Kontrollstelle von jedem EU-Mitgliedstaat, der Behörden für die EUInstitutionen und-Organe und einem Vertreter der Europäischen Kommission) in einer ersten Stellungnahme zurückhaltend gezeigt und – anknüpfend an die Forderungen des EuGH in seiner Safe-Harbor-Entscheidung – konkrete Vorgaben in Form von „vier Garantien“ für ein künftiges Abkommen definiert. Auch wenn es mangels konkreter Regelungen für eine detaillierte Bewertung noch zu früh ist, scheint eine derartige Zurückhaltung angebracht. Die Kommission hat sich angesichts der ablaufenden Frist zunächst einmal nur etwas Zeit erkauft. Bei der Ausgestaltung des Abkommens wird es darauf ankommen, wie die genannten Datenschutzprinzipien, Zugriffsbeschränkungen, Aufsichtsrechte und Rechtsschutzgarantien konkret aussehen werden.

Es ist zudem entscheidend, ob es gelingen wird, der US-Seite eine rechtsverbindliche Zusicherung hinsichtlich der geplanten Zugriffsbeschränkungen für US-Geheimdienste abzuringen. Vergleicht man die Anforderungen des EuGH mit der bisherigen Bereitschaft der Verhandlungspartner, sich auf wirksame Datenschutzmechanismen zu einigen, stimmt es allerdings nicht gerade optimistisch, dass dies auch tatsächlich gelingen wird. Die Art.-29-Gruppe hat der EU-Kommission jedenfalls eine weitere Frist bis Ende Februar gesetzt, um konkrete Regelungen zu verabschieden. In der Folge wird die Arbeitsgruppe bis voraussichtlich März oder April alle zur Verfügung stehenden Instrumente für US-Datenübermittlungen abschließend prüfen.

Praktische Bedeutung für Unternehmen

Für die betroffenen Unternehmen hat dies zur Folge, dass sich an dem aktuellen Schwebezustand zunächst einmal nichts ändert. Die Landesdatenschutzbehörden haben angekündigt, dass Datenübermittlungen in die USA bis zu einer abschließenden Entscheidung auch weiterhin auf EUMC und BCR als bekannte Alternativen zum Safe-Harbor-Konzept gestützt werden können. Etwas Beruhigung schafft zudem die Tatsache, dass die zuständigen Landesdatenschützer jedenfalls hinter vorgehaltener Hand eingestehen, dass ein derartiges „Fliegen auf Sicht“ zurzeit alternativlos ist.