EU-US Privacy Shield: Der Nachfolger von Safe Harbor wurde verabschiedet
Die EU-Kommission hat im Februar diesen Jahres den Entwurf eines EU-US Privacy Shield als Nachfolger des vom EuGH gekippten Safe Harbor vorgestellt (wir berichteten).
Am 12.07.2016 verabschiedete die Kommission nun offiziell die endgültige Fassung des EU-US Privacy Shield als Angemessenheitsentscheidung nach Art. 25 Abs. 6 der Datenschutzrichtlinie (Richtlinie 95/46/EG).
Nach der Übersetzung des Dokuments in die Amtssprachen der EU und den noch erforderlichen Umsetzungsarbeiten in den USA sollen sich US-Unternehmen ab dem 01.08.2016 in die „Privacy Shield List“ eintragen können.
Verfahrensgang
Als letzter erforderlicher Schritt (wir berichteten) vor der Entscheidung der Kommission erfolgte am 08.07.2016 die Annahme der finalen Fassung des Privacy Shield durch den sog. Artikel-31-Ausschuss.
Kurz vor der Sitzung des Artikel-31-Ausschusses bekräftigte die Artikel-29-Datenschutzgruppe in einer Presseerklärung nochmals ihre Bedenken gegen den ursprünglichen Entwurf und drückte ihre Hoffnung aus, dass die finale Version des Privacy Shield diese Bedenken berücksichtigt. Die Gruppe kündigte zudem an, die Kommissionsentscheidung nach ihrer Verabschiedung baldmöglichst zu prüfen und eine Stellungnahme hierzu abzugeben. Allerdings hat die Artikel-29-Datenschutzgruppe mit Blick auf die Kommissionsentscheidung kein Stimm- oder Vetorecht, sondern nur beratende Funktion.
Tatsächlich wurde das Privacy Shield gegenüber dem ersten Entwurf in einigen Punkten geändert und klarer gefasst. So ist im Rahmen des Zweckbindungsgrundsatzes nun etwa klargestellt, dass die Speicherung personenbezogener Daten grundsätzlich nur so lange zulässig ist, wie dies der Erreichung des Verarbeitungszwecks dient. Außerdem betont die finale Fassung des Privacy Shield deutlicher die Objektivität und Unabhängig des Ombudsmann, der vom US-Department of State eingerichtet wurde und der individuelle Beschwerden von EU-Bürgern behandelt, die befürchten, dass US-Behörden ihre personenbezogenen Daten unrechtmäßig im Rahmen der nationalen Sicherheit verarbeiten.
Nächste Schritte aus Unternehmenssicht
Unternehmen können aller Voraussicht nach ab dem 01.08.2016 den Datentransfer in die USA auf das EU-US Privacy Shield stützen. Hierzu ist, wie nach dem alten Safe Harbor, die Selbstzertifizierung des US-Datenempfängers gegenüber dem US-Department of Commerce erforderlich, die ab diesem Datum möglich sein soll und im Rahmen einer Re-Zertifizierung jährlich zu wiederholen ist.
Datenschutzrechtlich entsteht durch die Selbstzertifizierung auf Seiten des sich zertifizierenden US-Unternehmens ein „angemessenes Datenschutzniveau“ i.S.d. § 4b Abs. 2 BDSG
Allerdings ist es mit Blick auf eine längerfristige Strategie für den internationalen Datentransfer weiter empfehlenswert, auch die anderen Möglichkeiten der Rechtfertigung eines internationalen Datenaustauschs zu berücksichtigen und das für das jeweilige Unternehmen oder das jeweilige Projekt passende Mittel zur Schaffung eines angemessenen Datenschutzniveaus zu evaluieren. Zur Wahl stehen neben dem Privacy Shield wie schon bisher insbesondere EU-Standardvertragsklauseln und Binding Corporate Rules.
Da die Kritik am EU-US Privacy Shield nicht abreißt, ist nicht auszuschließen, dass auch diese neue Angemessenheitsentscheidung der Kommission ebenfalls vom EuGH gekippt wird. Auch das mittelfristige Schicksal der EU-Standardvertragsklauseln ist unklar, da die irische Datenschutzbehörde auch eine Überprüfung der Standardvertragsklauseln durch den EuGH anstrebt.