Datenschutzrecht- Privacy Shield nach Unsafe Habour und wie geht es nun weiter?

Der Europäische Gerichtshof hat das Datenaustauschabkommen USA – EU gekippt (Unsafe Harbour – Datenschutzaustauschabkommen ungültig). Unternehmen die einen Transantlantikbezug, genauer in die USA haben, sind derzeit nicht zu beneiden, denn die Übertragung von personenbezogenen Daten in die USA ist „verboten“ (Unsafe Harbour – Datenschutzaustauschabkommen ungültig). Dies sind tausende Firmen (4.000 laut Presse).

Als Übergangslösung werden derzeit „Standardvertragsklauseln“ oder die „Binding Corporate Rules“ verwendet. Alles sehr wacklig, aber die Europäische Kommission lässt verlauten, dass bis zum Inkraftreten des EU-US Privacy Shield, eine Verwendung möglich sei um ein angemessenes Datenschutzniveau zu erreichen. Diese Auffassung teilen die Datenschutzbehörden aber nicht und es erfolgt zudem derzeit eine Überprüfung der Standardvertragsklauseln und der Binding Corporate Rules durch die so genannte Art. 29 – Datenschutzgruppe. Es kann also noch spannend für betroffene Unternehmen werden.

Die Datenschutzbehörden haben derzeit google und facebook im Visier. Apple und auch whatsapp (verschlüsselt) zicken aber nicht umsonst derzeit mit dem FBI herum.

Im Februar 2016 wurde daher ein neues Abkommen entworfen. Das „EU-US Privacy Shield“- Abkommen. Es soll ab dem Sommer 2016 wieder eine Rechtsgrundlage für die Datenverarbeitung und den Transfer personenbezogener Daten aus Europa in die USA (bzw. außerhalb der EU) schaffen.

Verhandelt haben es die Europäische Kommission und das US-Handelsministerium. Die Vertragsbedingungen liegen im Entwurf seit dem 29.02.2016 vor. Die Europäische Kommission hält diesen Entwurf für angemessen um europäisches Datenschutzniveau zu erreichen.

Hierzu ist zu sagen, dass das ungültige Safe Harbour Abkommen auch schon von der Europäischen Kommission ausgehandelt wurde. Auch dieses Abkommen hielt die Europäische Kommission hinsichtlich des Datenschutzniveaus damals für angemessen. Ob das „EU-US Privacy Shield“ – Abkommen einer Prüfung durch den EuGH standhält, wird sich erst noch zeigen.

Kritiker werfen schon jetzt dem „EU-US Privacy Shield“ eine zu große Ähnlichkeit mit „Safe Harbour“ hinsichtlich der Angemessenheitsentscheidung, des Verbindlichkeitskatalogs sowie der Selbstzertifizierung gegenüber dem US-Handelsministeriums vor.

Befürworter stellen die nun erfolgte konkrete Kodifizierung der Datenschutzprinzipien heraus. Definitionen seien dem EU-Datenschutzrecht entnommen worden. Das Transportministerium soll für Beschwerden wegen Datenschutzverletzugnen zuständig sein. Ein eingeschränktes Klagerecht für Betroffene ist vorgesehen. Jährliche Überprüfungen durch die Europäische Kommission und das US-Handelsministerium sollen erfolgen. Ein öffentlicher Bericht soll dann vorgelegt werden.

Die Art. 29-Datenschutzgruppe wird nun die Angemessenheit des Datenschutzniveaus des „EU – US Pivacy Shields“ prüfen. Rechtlich verbindlich wird aber nur eine Entscheidung des EuGH sein. Ein unbefriedigender Zustand für betroffene Unternehmen. Eine Prüfung im Einzelfall ist erforderlich. Wer sich vom Profi beraten lässt, handelt nicht schuldhaft und hat alles getan um sich abzusichern.

 

Author: Rechtsanwalt Zachow - Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, TÜV zertifizierter Datenschutzbeauftragter

Ich bin Fachanwalt für IT-Recht (Fachanwaltslehrgang IT-Recht), Fachanwalt für Urheber- und Medienrecht (Fachanwaltslehrgang Urheber- und Medienrecht) und vertrete Contentprovider zu den Rechtsthemen e-commerce, Datenschutzrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Weiterhin berate ich Hosting- und Accessprovider zum Telekommunikationsrecht. Die individuelle Beratung mittelständischer Unternehmen und von Privatpersonen aus einer Hand, fachlich kompetent durch einen sehr hohen Grad der Spezialisierung, laufende Fortbildungen und 10 Jahren Erfahrung im IT-Recht, Urheber- und Medienrecht, sind mein Anspruch. Der TÜV Nord hat mich als Datenschutzbeauftragter zertifiziert. Lernen Sie mich persönlich kennen.