EU-US Privacy Shield – das neue Safe Harbor 2.0 Rahmenabkommen ist beschlossen

Am 2. Februar 2016 einigte sich die Europäische Kommission mit Vertretern der USA auf ein neues Rahmenabkommen für transatlantische Transfers von personenbezogenen Daten, den "EU-US Privacy Shield" (Pressemitteilung).

Andrus Ansip, der Vize-Präsident der Kommission für den digitalen Binnenmarkt und Vera Jourova, die Kommissarin für Justiz, wurden mit der Umsetzung des Rahmenabkommens in Form einer Kommissionsentscheidung beauftragt. In der Zwischenzeit werden die USA die vereinbarten Schutzvorkehrungen umsetzen. Kommissarin Jourova erwartet, dass es etwa drei Monate dauern wird, bis der neue EU-US Privacy Shield in Kraft tritt.

Historie

Am 1. Februar 2016 hatte sich Kommissarin Jourova in einer Rede an den LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) des Europäischen Parlaments gewandt. Zu diesem Zeitpunkt schien es ungewiss, dass eine Einigung erzielt werden würde (Text der Rede). Viele Vertreter des LIBE-Ausschusses waren skeptisch, ob das vorgeschlagene Abkommen einer weiteren rechtlichen Prüfung standhalten würde.

Das vorherige Abkommen, bekannt als Safe Harbor, wurde mit dem Schrems-Urteil am 6. Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt.

Wesentliche Aspekte des EU-US Privacy Shields

Nach den bisherigen Informationen, die der Pressemitteilung und der vorgenannten Rede zum LIBE-Ausschuss entnommen werden können (weitere Dokumente oder Verlautbarungen sind bislang nicht veröffentlicht), wird das neue Abkommen folgende Kernregelungen enthalten:

Strengere Vorschriften für US-Importeure zum Schutz personenbezogener Daten von europäischen Bürgern

• US-Importeure personenbezogener Daten müssen sich zur Einhaltung verbindlicher Regeln verpflichten, die festlegen, in welcher Art und Weise personenbezogene Daten verarbeitet und Betroffenenrechte garantiert werden
• das US Department of Commerce wird überwachen, dass diese Selbstverpflichtungen des US-Importeurs veröffentlicht werden
• die US Federal Trade Commission wird die Einhaltung dieser Selbstverpflichtungen des US-Importeurs durchsetzen
• US-Importeure, die Arbeitnehmerdaten verarbeiten, müssen sich zusätzlich dazu verpflichten, etwaigen sie betreffende Entscheidungen europäischer Datenschutzbehörden nachzukommen

Klare Kontroll- und Transparenzverpflichtungen bei Zugriff durch US-Regierung

• Die USA (US Office of Director of National Intelligence) hat der EU schriftlich zugesichert, dass ein Zugang zu Daten durch Behörden zur Strafverfolgung und nationalen Sicherheit strengen Beschränkungen, Schutz- und Aufsichtsmechanismen unterliegt und dass ein solcher Zugang zu Daten nur stattfinden wird, wenn er erforderlich und verhältnismäßig ist
• keine wahllose Massenüberwachung personenbezogener Daten, die unter das neue Abkommen fallen
• jährliche gemeinsame Überprüfung der Wirksamkeit der neuen Mechanismen, einschließlich der Überprüfung des Zugangs zu personenbezogenen Daten aus Gründen der nationalen Sicherheit
• die Europäische Kommission und das US Department of Commerce werden diese Überprüfung durchführen; US-Geheimdienstexperten und europäische Datenschutzbehörden werden an dieser Überprüfung ebenfalls teilnehmen dürfen

Effektiver Rechtschutz für EU-Bürger

Den Bürgern der EU werden unterschiedliche Abhilfemöglichkeiten gegen den Missbrauch ihrer Daten zur Verfügung stehen:

• Direkt gegenüber dem jeweiligen Daten-Importeur
• durch einen kostenfreien, alternativen Streitbeilegungsmechanismus
• mittels einer Beschwerde an eine Europäische Datenschutzbehörde, welche diese an das US Department of Commerce oder die US Federal Trade Commission weitergibt
• und schließlich durch eine unabhängige US-Ombudsperson, deren Stelle für Beschwerden gegen den Zugriff auf personenbezogene Daten durch nationale Geheimdienstbehörden neu geschaffen werden wird.

Unsere Einschätzung

Der Abschluss des Abkommens ist ein positives Zeichen für alle Unternehmen, die personenbezogene Daten aus dem Europäischen Wirtschaftsraum exportieren. Er zeigt, dass der Europäischen Union die herausragende Bedeutung transatlantischer Datenflüsse für die Europäische Wirtschaft bewusst, und dass sie zu pragmatischen Lösungen bereit ist.

Die „offiziellen“ Ankündigungen des neuen Abkommens beschränkten sich bisher allerdings auf die Rahmenbedingungen und lassen daher noch viele Fragen offen, wie auch die Reaktionen des LIBE-Ausschusses am 1. Februar 2016 zeigten. Beispiele für diese offenen Fragen sind: Sind die schriftlichen Zusicherungen für die USA ausreichend rechtlich bindend? Wie umfangreich sind die Abhilfemöglichkeiten der Ombudsperson? Stehen die Abhilfemöglichkeiten nur EU-Bürgern zur Verfügung, auch wenn europäisches Datenschutzrecht unabhängig von der Nationalität Anwendung findet?

Um dem neuen Abkommen zum Erfolg zu verhelfen, werden die Kommissare nun die nationalen Datenschutzbehörden überzeugen müssen, dass es die Anforderungen des EuGH aus dem Schrems-Urteil hinreichend addressiert. Die nationalen Behörden haben nach dem Schrems-Urteil des EuGH letztlich über Beschwerden gegen Datentransfers auf Basis des neuen Abkommens zu entscheiden. Die erste Gelegenheit dazu besteht, wenn die Kommissare am 3. Februar der Artikel 29-Datenschutzgruppe (welche aus Vertretern der Datenschutzbehörden aller 28 Mitgliedsstaaten besteht) das neue Abkommen vorstellen.

Die europäischen Datenschutzbehörden hatten sich abgestimmt (Stellungnahme) bis zum 31. Januar 2016 noch nicht gegen Datenexporteure vorzugehen, welche einen Datentransfer auf das EU-US Safe Harbor Abkommen stützen und keine alternativen Lösungen einsetzen (beispielsweise EU Standardvertragsklauseln oder Binding Corporate Rules). Ob dieses Moratorium bis zum endgültigen Inkrafttreten des EU-US Privacy Shield weitergelten soll, bedarf nun ebenfalls einer Entscheidung.

Bis uns weitere Informationen vorliegen, bleiben diese Unklarheiten bestehen. Wir werden die Entwicklung weiterhin begleiten und regelmäßig Updates veröffentlichen.