Mit dem EU-US Privacy Shield stellt die EU-Kommission einen neuen Rahmen für den internationalen Datentransfer zwischen der EU und der USA vor. Dieser soll Rechtssicherheit für Unternehmen schaffen, die auf die Übermittlung personenbezogener Daten in die USA angewiesen sind oder hierauf nicht verzichten möchten und dabei zugleich die Grundrechte der Personen in der EU schützen, deren personenbezogene Daten betroffen sind.

Der Inhalt des neuen EU-US Privacy Shields

Nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 die  Safe Harbor-Regelung kippte und feststellte, dass die USA kein angemessenes Datenschutzniveau gewährleisteten, entfiel die am häufigsten herangezogene Rechtsgrundlage für die Übermittlung von Daten in die USA.

Der EU-US Privacy Shield soll diese Situation ändern. Die neuen Regelungen bestehen unter anderem aus Auflagen für Unternehmen, die Daten verarbeiten und aus Vorgaben für den Datenzugriff durch US-Behörden. Daneben existiert im US-Außenministerium eine Ombudsstelle, an die sich EU-Bürger mit Rechtsschutzbegehren wenden können.

Ein maßgebliches Instrument in der Praxis wird die Datenschutzschild-Liste sein. US-Unternehmen können sich ab 1. August im Wege der Selbstzertifizierung in diese Liste eintragen und sich so zur Einhaltung der Datenschutzvorgaben des EU-US Privacy Shields verpflichten. Das US-Handelsministerium überwacht die Einhaltung der Vorgaben und die Unternehmen müssen die Registrierung jährlich wiederholen.

Kritische Stimmen

Trotz positiver Stimmen, welche insbesondere die neu geschaffene Rechtssicherheit betonen, gibt es auch Kritik an den neuen Regelungen. Kritisiert wird vor allem, dass für die US-Regierung weiterhin zahlreiche rechtliche Möglichkeiten der Massenerhebung von Daten bestünden oder dass es der Ombudsstelle an der notwendigen Unabhängigkeit fehle. Letztlich erfülle auch der EU-US Privacy Shield, aus ähnlichen Gründen wie zuvor das Safe Harbor-Regime, nicht die Vorgaben des EuGH und gewähre keinen ausreichenden Schutz für EU-Bürger vor den US-Behörden.

Einschätzung

Nach der Unwirksamkeit von Safe Harbor sind bislang (mangels bestehender oder praktikabel zu erstellender Binding Corporate Rules) für Unternehmen oft die EU-Standardvertragsklauseln das Mittel der Wahl, um eine Übertragung von Daten in die USA rechtssicher zu gestalten. Mit dem EU-US Privacy Shield scheint auf den ersten Blick eine neue, rechtssichere Alternative zu existieren.

Allerdings bestehen weiterhin Unsicherheiten. Im Hinblick auf die angeführten Kritikpunkte prognostizieren unterschiedliche Datenschutzexperten, dass der EU-US Privacy Shield langfristig das gleiche Schicksal erleiden dürfte wie die Safe Harbor-Regelung und für unzureichend erklärt wird. Auch die EU-Standardvertragsklauseln stehen aus ähnlichen Gründen unter Beschuss. Die irische Datenschutzbehörde hat im Mai 2016 angekündigt, den rechtlichen Status der EU-Standardvertragsklauseln gerichtlich prüfen zu lassen. Die Datenschutzbehörde ist davon überzeugt, dass diese aus denselben Gründen wie die Safe Harbor-Regelung für ungültig erklärt werden müssen.

Eine allgemeine, klare Empfehlung für eine der bestehenden Alternativen (Binding Corporate Rules, EU-Standardvertragsklauseln und EU-US Privacy Shield) ist zum derzeitigen Stand schwer mit der nötigen Sicherheit abzugeben. Bereits Praktikabilitätsgründe werden in der Regel für die Nutzung des neuen EU-US Privacy Shields sprechen, wenn nicht in passende Prozesse eingebettete EU-Standardvertragsklauseln Verwendung finden. Konzeptionell sind schrittweise weiter zu entwickelnde, lagenweise („layering“) Datenschutzregimes ein Mittel der Wahl. Im Interesse von Unternehmen, ihr Datenschutzkonzept langfristig anzulegen, sollte die zukünftige Entwicklung weiterhin beobachtet und die rechtliche Basis entsprechend ausgerichtet werden.

Stephan Menzemer, Rechtsanwalt

Jörn Bordeaux, Rechtsanwalt
beide Frankfurt am Main