Wie sicherlich mittlerweile bekannt ist, ist ein legaler Transfer personenbezogener Daten in die USA nicht mehr möglich, da das ursprünglich geltende Safe Harbor-Abkommen letztes Jahr vom EuGH für nichtig erklärt worden war. Seitdem bemühen sich die EU Kommission und die USA ein neues Abkommen zu schließen. Anscheinend wird es demnächst eine neue Vereinbarung geben.
Wer ist betroffen?
Von den Konsequenzen des Urteils des EuGH sind alle Unternehmen betroffen, die personenbezogene Daten ihrer Mitarbeiter oder Kunden an Dienstleister übergeben, deren Server in den USA stehen und die transferierten Daten auf diesen US-Servern verarbeitet werden. Zu solchen Dienstleistern gehören Anbieter von Mail-, Cloud-, Newsletter- und sonstigen Dienstleistungen im Bereich des Online-Marketings, Personal- und Kundendatenverwaltung, Kommunikation.
Strengere Datenschutzregeln im EU-US-Privacy Shield
Das neue Abkommen namens EU-US-Privacy Shield soll den rechtswidrigen Zustand beseitigen und hierzu nach dem bisherigen Verhandlungsstand folgende Regelungen enthalten:
- Unternehmen in den USA sollen künftig strengeren Auflagen bezüglich der Art der Verarbeitung personenbezogener Daten und des Schutzes der Rechte einzelner Personen unterliegen und sich hierzu selbst verpflichten. Das US- Handelsministerium soll dafür sorgen, dass diese Selbstverpflichtungen auch veröffentlicht werden, damit sie nach US-Recht von der Federal Trade Commission durchgesetzt werden können.
- Des Weiteren sollen sich alle US-Unternehmen, die mit personenbezogenen Daten aus Europa arbeiten, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden zu befolgen.
- Das US- Handelsministerium und die Federal Trade Commission (FTC) sollen zu intensiveren Kontroll- und Durchsetzungsmaßnahmen verpflichtet werden. Dies soll z. B. durch eine verstärkte Zusammenarbeit mit den europäischen Datenschutzbehörden gewährleistet werden.
- Die USA wollen sich verpflichten, ihren Behörden den Zugriff auf künftig zu übertragende personenbezogene Daten nur unter rechtlich ganz klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang zu ermöglichen. Ein willkürlicher Zugriff soll damit künftig ausgeschlossen werden.
- Für betroffene EU-Bürger, die ihre Rechte verletzt glauben, soll es wirksame Rechtsbehelfe geben. Zum einen sollen US-Unternehmen Beschwerden innerhalb bestimmter Fristen beantworten. Des Weiteren sollen die europäischen Datenschutzbehörden Beschwerden an das Handelsministerium und die Federal Trade Commission weiterleiten können. Darüber hinaus soll es ein kostenloses Verfahren zur alternativen Streitbeilegung geben. Letztlich soll für Beschwerden, die den Zugriff nationaler Nachrichtendienste betreffen, eine neue Ombudsstelle installiert werden.
- Es sollen auch Verfahren installiert werden, die durch eine jährliche gemeinsame Überprüfung sicherstellen sollen, dass die neuen Verpflichtungen eingehalten werden. Die EU- Kommission und das US- Handelsministerium sollen diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der Europäischen Datenschutzbehörden hinzuziehen.
Weiterer Ablauf
Die EU-Kommission will in der nächsten Zeit den Entwurf eines Vertrages anfertigen, der sodann zunächst von der Art- 29-Datenschutzgruppe und von einem Ausschuss, der sich aus den Vertretern der Mitgliedstaaten zusammensetzt, geprüft werden soll. Erst danach könnte der neue Vertrag geschlossen werden.
In der Zwischenzeit sollen beide Seiten bereits Vorbereitungen zur Installation der Rechtsbehelfsmöglichkeiten und der Ombudsstelle treffen.
Kritik
Von einigen Vertretern der deutschen Datenschutzbehörden wird derzeit kritisiert, dass die Regelungen zum einen nicht umfangreich genug seien und es darüber hinaus auch noch nicht sicher sei, dass diese Regelung tatsächlich einen Vertrag aufgenommen würden.
Fazit
Für Unternehmen bleibt die Rechtslage weiterhin unsicher. Zum einen ist nicht absehbar, wann und mit welchen Regelungen ein neues Abkommen tatsächlich geschlossen wird. Zum anderen sind die bisherigen Lösungen der EU-Standardvertragsklauseln bzw. der verbindlichen Unternehmensrichtlinien nicht sicher, da sie nach wie vor von einigen deutschen Datenschutzbehörden ebenfalls als unzulässig angesehen werden.
Sicher ist nur, dass der Transfer personenbezogener Daten in die USA bzw. an US-Unternehmen rechtswidrig ist. Da die Übergangsfrist der deutschen Datenschützer abgelaufen ist, werden Unternehmen in den nächsten Wochen mit entsprechenden Auskunftsersuchen der Behörden rechnen müssen.
Wer daher gerade vor der Beauftragung eines neuen Dienstleisters steht, sollte ein Unternehmen mit Servern in der EU beauftragen. Allen anderen kann man derzeit nur empfehlen, abzuwarten und mit den Behörden zu verhandeln.