Nachdem das Safe Harbor-Abkommen im Oktober 2015 durch den EuGH für unwirksam erklärt wurde, haben EU-Kommission und USA erneut über Vorgaben zum grenzüberschreitenden Datenschutz verhandelt.
Die Übergangsfrist der europäischen Datenschutzaufsichtsbehörden im Nachgang zum Safe-Harbor-Urteil des EuGH endete am 31.01.2016. Sie richtete sich zwar vor allem an europäische Unternehmen und deren Datenübermittlung in die USA. Allerdings gerieten auch die EU-Kommission und die USA durch die Frist unter Druck, die Verhandlungen über ein "neues Safe Harbor", die zuletzt etwas gestockt hatten, weiter voran zu treiben.
Zwar konnte innerhalb des Übergangszeitraums kein rechtsverbindliches Abkommen zwischen EU und USA unterzeichnet werden. In einer Pressekonferenz am gestrigen Nachmittag gaben die EU-Kommissarin Vera Jourová und der Vizepräsident der Kommission Andrus Ansip jedoch bekannt, dass jedenfalls die Verhandlungen für eine neue Vereinbarung abgeschlossen seien. Somit sei der Weg für das neue Abkommen, das "EU-US Privacy Shield" geebnet.
Der Aussagen in der Pressekonferenz und der Pressemitteilung der EU-Kommission zu Folge wird das Abkommen zur Stärkung des Datenschutzes bei Übermittlung personenbezogener Daten aus der EU in die USA insbesondere drei Punkte beinhalten:
1. Klare Vorgaben für US-amerikanische Unternehmen in Bezug auf die technischen und organisatorischen Mindestanforderungen für den Fall, dass sie personenbezogene Daten aus Europa verarbeiten und eine effektive Überwachung der Einhaltung dieser Anforderungen.
2. Eindeutige Regelung und teilweise Einschränkung der weiten Zugriffe der US-Ermittlungsbehörden auf personenbezogene Daten europäischer Bürger.
3. Einführung eines effektiven Rechtsschutzes der EU-Bürger bei Zugriff auf ihre personenbezogenen Daten, insbesondere durch einen unabhängigen Ombudsmann, bei dem Beschwerde eingereicht werden kann.
Weitere Details zu den einzelnen Punkten wurden zunächst nicht bekanntgegeben.
Die Ergebnisse der Verhandlungen werden zunächst in einen Vertragsentwurf gegossen. Dieser wird anschließend verschiedenen EU-Organen zur Prüfung und Diskussion vorgelegt. Ob es letztlich bei den oben genannten Regelungen bleibt, ist derzeit noch unklar. Bereits jetzt wurden die Verhandlungsergebnisse von verschiedener Seite als unzureichend kritisiert, auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, stellte klar, dass zunächst sichergestellt werden müsse, "dass der neue „EU-US Datenschutzschild“ auch wirklich seinen Namen verdient und nicht an den entscheidenden Stellen löchrig ist".
Da das Abkommen noch nicht in Kraft ist, bleibt es zunächst bei der seit Oktober 2015 bestehenden Rechtslage: Safe Harbor ist ungültig, hierauf kann sich ein Unternehmen bei Übermittlung personenbezogener Daten in die USA nicht mehr berufen. Stattdessen sollte auf die aktuell gesetzlich noch zur Verfügung stehenden Alternativen für eine rechtmäßige Verarbeitung und Übermittlung personenbezogener Daten zurückgegriffen werden. Daneben ist abzuwarten, wie sich das geplante EU-US Privacy Shield weiter entwickelt und insbesondere, wie sich die europäischen Datenschutzaufsichtsbehörden hierzu äußern. Wir werden Sie hierzu auf dem Laufenden halten.
Update 10.02.2016: Mit Pressemitteilung vom 03.02.2016 hat auch das unabhängige europäische Beratungsgremium im Hinblick auf Datenschutz, die Artikel-29-Datenschutzgruppe, nach einer Tagung auf die Bekanntgabe des EU-US Privacy Shield reagiert. Hiernach behält sich die Gruppe eine abschließende Beurteilung des neuen Abkommens bis zum Vorliegen eines offiziellen Vertragstextes vor, womit bis Ende Februar gerechnet wird. Dementsprechend werden bis zu diesem Zeitpunkt auch keine Einschätzungen über die Rechtmäßigkeit des Einsatzes von aktuellen Alternativen wie den Standardvertragsklauseln oder Binding Corporate Rules bekanntgegeben. Für Unternehmen, die derzeit personenbezogene Daten auf Grundlage dieser Alternativen in die USA übermitteln, bedeutet dies eine faktische Verlängerung der ursprünglichen Frist. Dennoch ist zu beachten: Datenübermittlungen, die sich weiterhin auf Safe Harbor stützen, sind bereits zum jetzigen Zeitpunkt nicht rechtmäßig und können durch Datenschutzbehörden entsprechend verfolgt werden.