Ausgabe 4 - 2016
Endlich Land in Sicht?

„Safe Harbor“ ist tot, es lebe das „EU-US-Privacy-Shield“. Werden altbekannte Begrifflichkeiten entsorgt und durch neue ersetzt, kann dies zweierlei Gründe haben: entweder die Politik meint es wirklich ernst oder neue und symbolträchtige Begrifflichkeiten sollen schlicht davon ablenken, dass es in der Sache gar nicht so viel Neues gibt. In diesem Fall scheint beides zuzutreffen.
Am 2. Februar verkündete die EU-Justizkommissarin Vera Jourova die politische Einigung zwischen der EU-Kommission und dem US-Handelsministerium über neue Rahmenbedingungen für transatlantische Datenflüsse. Dies war notwendig geworden, nachdem der EuGH in seiner Entscheidung vom 16. Oktober 2015 das mehr als 15 Jahre alte Safe-Harbor-Konzept für unwirksam erklärt hatte.
Eckpunkte des „EU-US-Privacy-Shields“
Nun kündigte die EU-Kommission ein neues Regelwerk an, das unter dem Titel „EU-US-Privacy-Shield“ folgende Eckpunkte beinhalten soll:
• Das von Safe Harbor bekannte Grundprinzip der Selbstzertifizierung bleibt erhalten, wobei die konkreten Datenschutzprinzipien, auf deren Einhaltung sich US-Unternehmen verpflichten können, noch unbekannt sind; die Aufsicht hierüber obliegt der Federal Trade Commission, bei Beschäftigtendaten sollen allerdings zusätzlich europäische Aufsichtsbehörden zuständig sein.
• Darüber hinaus wird von US-Seite zugesichert, den Zugriff von US-Geheimdiensten auf transatlantische Datenflüsse zu beschränken; dies soll durch eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sichergestellt werden.
• Zudem sind erweiterte Rechtsschutzmöglichkeiten für EU-Bürger geplant; diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden können, zum anderen sollen im Wege des sog. Judicial Redress Act auch Rechtsschutzmöglichkeiten von EU-Bürgern in den USA ermöglicht werden.
Erste Reaktionen und weiterer Prozess
Auch wenn es in der Sache also nicht viel Neues gibt, haben die Pläne bereits zahlreiche kritische Reaktionen von Datenschützern hervorgerufen; von einem „Affront“, „Witz“ oder gar „Bullshitbingo“ war hier die Rede. Darüber hinaus hat sich auch die sogenannte Artikel-29-Datenschutzgruppe (Berater mit Vertretern der Kontrollstelle von jedem EU-Mitgliedstaat, der Behörden für die EUInstitutionen und-Organe und einem Vertreter der Europäischen Kommission) in einer ersten Stellungnahme zurückhaltend gezeigt und – anknüpfend an die Forderungen des EuGH in seiner Safe-Harbor-Entscheidung – konkrete Vorgaben in Form von „vier Garantien“ für ein künftiges Abkommen definiert. Auch wenn es mangels konkreter Regelungen für eine detaillierte Bewertung noch zu früh ist, scheint eine derartige Zurückhaltung angebracht. Die Kommission hat sich angesichts der ablaufenden Frist zunächst einmal nur etwas Zeit erkauft. Bei der Ausgestaltung des Abkommens wird es darauf ankommen, wie die genannten Datenschutzprinzipien, Zugriffsbeschränkungen, Aufsichtsrechte und Rechtsschutzgarantien konkret aussehen werden.
Es ist zudem entscheidend, ob es gelingen wird, der US-Seite eine rechtsverbindliche Zusicherung hinsichtlich der geplanten Zugriffsbeschränkungen für US-Geheimdienste abzuringen. Vergleicht man die Anforderungen des EuGH mit der bisherigen Bereitschaft der Verhandlungspartner, sich auf wirksame Datenschutzmechanismen zu einigen, stimmt es allerdings nicht gerade optimistisch, dass dies auch tatsächlich gelingen wird. Die Art.-29-Gruppe hat der EU-Kommission jedenfalls eine weitere Frist bis Ende Februar gesetzt, um konkrete Regelungen zu verabschieden. In der Folge wird die Arbeitsgruppe bis voraussichtlich März oder April alle zur Verfügung stehenden Instrumente für US-Datenübermittlungen abschließend prüfen.
Praktische Bedeutung für Unternehmen
Für die betroffenen Unternehmen hat dies zur Folge, dass sich an dem aktuellen Schwebezustand zunächst einmal nichts ändert. Die Landesdatenschutzbehörden haben angekündigt, dass Datenübermittlungen in die USA bis zu einer abschließenden Entscheidung auch weiterhin auf EUMC und BCR als bekannte Alternativen zum Safe-Harbor-Konzept gestützt werden können. Etwas Beruhigung schafft zudem die Tatsache, dass die zuständigen Landesdatenschützer jedenfalls hinter vorgehaltener Hand eingestehen, dass ein derartiges „Fliegen auf Sicht“ zurzeit alternativlos ist.
Autor
Dr. Daniel Klösel, JUSTEM Rechtsanwälte, Frankfurt am Main,
d.kloesel@justem.de
- Smarties für autonome HR-Fahrer
- Mehr als die Summe ihrer Teile
- Messe und Manager im neuen Look
- Im Goldregen
- HR als Kundenversteher
- Wie das Internet der Dinge die Personalarbeit verändert
- „Es bedarf noch erheblicher Anstrengungen“
- Heiß gekocht, warm gegessen
- Die Reisebegleiter
- Teupen hat wieder Fuß gefasst
- Unternehmenskultur bremst Veränderungen aus
- Eine Frage der Akzeptanz
- Ausbildungs-Websites – ein Anziehungspunkt?
- Lob der Dickköpfe
- Individuelles Lernen rund um die Uhr
- Do it yourself als Alternative?
- Mit Empathie und Weitblick
- Von den Besten lernen
- Das Klassentreffen
- Endlich Land in Sicht?