Politische Einigung über Safe-Harbor-Ersatz: Neuer Daten­schutz, alte Fra­ge­zei­chen

von Michael Kamps und Dr. Reemt Matthiesen

05.02.2016

2/2: Eckpunkte des EU-US Privacy Shield

Bislang sind nur die in einer Mitteilung der Europäischen Kommission angerissenen Eckpunkte des Datenschutzschildes bekannt:

  • Ein Grundprinzip des bisherigen Safe-Harbor-Konzeptes wird beibehalten: US-Unternehmen können im Rahmen einer Selbstzertifizierung bestätigen, dass sie die aus der EU erhaltenen Daten nach bestimmten, derzeit aber noch nicht bekannten Datenschutzprinzipien verwenden werden. Nach dem ehemaligen Safe-Harbor-Konzept handelte es sich um sieben Grundsätze, die durch "FAQ" näher spezifiziert wurden. Die Einhaltung der Datenschutzprinzipien durch US-Unternehmen unterliegt der Aufsicht durch die Federal Trade Commission; bei Beschäftigtendaten sind zudem die europäischen Aufsichtsbehörden zuständig
  • Ein Grund für die bestehende "Datenschutzkrise" zwischen der EU und den USA waren bekanntlich die Enthüllungen von Whistleblower Edward Snowden zur Überwachungstätigkeit von US-Geheimdiensten. Die US-Seite hat nun schriftlich versichert, dass deren Zugriff beschränkt ist. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Dieser Punkt wird für die anstehende Bewertung des Datenschutzschildes entscheidend sein: Zum einen müssen die Zusicherungen von US Seite rechtlich verbindlich sein. Zum anderen darf man gespannt sein, wie die konkrete Formulierung der Datenschutzgrundsätze aussehen wird.
  • Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden können. Ein weiterer wichtiger Baustein ist der sogenannte Judicial Redress Act, der EU-Bürgern auch gerichtlichen Rechtsschutz in den USA ermöglichen soll. Ob dieses Gesetz allerdings tatsächlich geeignet ist, den vom EuGH geforderten effektiven Rechtsschutz zu gewährleisten, bezweifelt nicht nur der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bezweifelt.

Viel Kritik, schon bevor es ihn gibt

Nicht alle Akteure formulierten ihre Reaktion auf den EU-US Privacy Shield so zurückhaltend wie die Aufsichtsbehörden. Sowohl Vertreter des EU-Parlaments, namentlich der Abgeordnete Jan Philipp Albrecht, als auch Datenschutzaktivisten wie der österreichische Jurist Maximilian Schrems (der das Verfahren zur Safe Harbor-Entscheidung des EuGH initiiert hatte) übten heftige Kritik: Insbesondere verlasse sich auch der neue Datenschutzschild im Hinblick auf die Überwachung durch Geheimdienste lediglich auf Zusicherungen der US-Behörden. So steht schon  vor Veröffentlichung aller Details ein neues Verfahren vor dem EuGH im Raum.

Abschließende Rechtssicherheit für Unternehmen in der EU ist mit der politischen Einigung zum Datenschutzschild also nicht verbunden, und die derzeitige Hängepartie wird sich mindestens noch bis ins Frühjahr fortsetzen.

In erster Linie wird es auf die Bewertung der Aufsichtsbehörden ankommen, ob Datenverarbeiter in der EU sich auf den EU-US Privacy Shield, die EU-Standardvertragsklauseln oder konzerninterne Binding Corporate Rules verlassen können.

Eine wesentliche Frage wird auch sein, ob sich die europäischen Aufsichtsbehörden tatsächlich auf eine einheitliche Position verständigen und nur diese bei ihrer Aufsichtstätigkeit berücksichtigen, oder ob einzelne Behörden – insbesondere bei Beschwerdefällen – nationale Sonderwege beschreiten werden. Dies ist nicht zuletzt für Deutschland relevant, wo – anders in vielen anderen EU-Mitgliedstaaten – nicht eine zentrale Stelle, sondern neben der Bundesbeauftragten für den Datenschutz im Wesentlichen Behörden in den Ländern die Aufsicht über die Datenverarbeitung in der Privatwirtschaft führen.

Am Ende wieder vor Gericht?

In einem zweiten Schritt könnten es die Gerichtsverfahren geben, von denen jetzt schon einige reden. Dann müsste der EuGH erneut prüfen, ob auch die neuen Übermittlungsinstrumente den Anforderungen des EU-Datenschutzrechts genügen.

Nicht nur die europäischen Niederlassungen von US-Konzernen werden die weiteren Entwicklungen aufmerksam beobachten müssen. Denn anders als vielfach angenommen können auch klassische Mittelstandsunternehmen betroffen sein: Auch sie bedienen sich häufig Dienstleistern in den USA, etwa für Cloud-Services oder "Software as a Service"-Anwendungen, bei denen personenbezogene Daten von Kunden oder Mitarbeitern auf Servern in den USA gespeichert werden.

Immerhin hat der neue EU-US Privacy Shield aber schon jetzt ein eigenes Logo.

Die Autoren Michael Kamps und Dr. Reemt Matthiesen sind Rechtsanwälte bei CMS Hasche Sigle in Köln und München und beraten schwerpunktmäßig im Datenschutzrecht.

Zitiervorschlag

Politische Einigung über Safe-Harbor-Ersatz: . In: Legal Tribune Online, 05.02.2016 , https://www.lto.de/persistent/a_id/18388 (abgerufen am: 06.11.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen