Mit Urteil vom 6.10.2015 hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA für ungültig erklärt. Nach diesem Urteil konnten Datentransfers in die USA lediglich auf Basis von EU-Standardvertragsklauseln und Binding Corporate Rules erfolgen. Unternehmen, die nach wie vor eine Datenübermittlung in die USA auf die Safe-Harbor-Zertifizierung stützten, drohten Bußgelder bis zu 300.000 Euro. Am Dienstag, den 12.7.2016, ist mit dem „Privacy Shield“ der neue Rechtsrahmen für den Datentransfer in die USA in Kraft getreten.
Privacy Shield in Kraft
Am 12.7.2016 hat die Europäische Kommission das sog. „Privacy Shield“ verabschiedet. Die US-Handelsministerin Penny Pritzker bezeichnete die Vereinbarung als „Meilenstein für den Datenschutz“ und kündigte bereits an, ab dem 1.8.2016 Zertifizierungen nach den Privacy-Shield-Regeln entgegenzunehmen. Das US-Handelsministerium wird sodann auf seiner Webseite eine Liste veröffentlichen, in der die zertifizierten US-Unternehmen aufgeführt sind. Datenschutzrechtlich verantwortliche Unternehmen aus der Europäischen Union können anhand dieser Liste prüfen, ob das entsprechende US-Unternehmen eine Privacy-Shield-Zertifizierung besitzt. Ist dies der Fall, können gemäß § 4b BDSG personenbezogene Daten an Unternehmen in den USA übermitteln werden, wenn zudem die Datenübermittlung an sich nach Maßgabe der allgemeinen Regeln des Bundesdatenschutzgesetzes (z.B. § 28 BDSG) zulässig ist. Die zweistufige Prüfung einer Datenübermittlung ins Ausland ist daher von den verantwortlichen Stellen stets zu beachten.
Privacy Shield – Fluch und Segen
Die Industrie dürfte mit dem Verhandlungsergebnis insgesamt zufrieden sein, da die neuen Regeln für Datentransfers in die USA die rechtlichen Unsicherheiten nach der Safe-Harbor-Entscheidung beseitigen und damit die digitale Wettbewerbsfähigkeit Europas stärken. Kritik kommt hingegen von Datenschützern. So monierte der Europaabgeordnete Jan Philipp Albrecht diverse ungeklärte Fragen. Maximilian Schrems, der in dem Verfahren gegen die irische Datenschutzbehörde das Ende von Safe Harbor eingeleitet hatte, erklärte hierzu: „Privacy Shield is the product of pressure by the US and the IT industry – not of rational or reasonable considerations.“ Welchen Einfluss die Kritik an dem Privacy Shield letztlich haben wird bleibt abzuwarten. Der gegenwärtig „sicherere Hafen“ scheint indes weiterhin in der Verwendung von Binding Corporate Rules und Standardvertragsklauseln zu liegen, wobei letztere in einem gegenwärtigen Verfahren in Irland ebenfalls einer gerichtlichen Prüfung unterzogen sind.