EU-US Privacy Shield
The European Commission announced on February 2, 2016 that it had agreed a new framework with the US for data flows between Europe and the US. The new framework, christened “EU-US Privacy Shield”, would replace the former Safe Harbor agreement, which was invalidated by the European Court of Justice in 2015, and allow a mechanism for companies to legally transfer personal data relating to EU citizens. The EU-US Privacy Shield is yet far from a done deal and data protection experts indicated concerns as to whether the new framework will in fact address the key EU data protection law criteria for data handling practices.
Die Europäische Kommission hat am 02.02.2016 bekannt gegeben, dass sie sich mit den USA auf ein neues Datenschutzabkommen einigen konnte. Das neue Abkommen trägt die Bezeichnung “EU-US Privacy Shield” und soll die vom Europäischen Gerichtshof (EuGH) 2015 für rechtswidrig erklärte Safe-Harbor-Regelung ersetzen. Diese Regelung diente bis zur Entscheidung des EuGH als Grundlage dafür, dass die persönlichen Daten von Bürgern der europäischen Union in den USA verarbeitet werden konnten. Der EuGH entzog der Datenübermittlung die Grundlage, insbesondere weil die Daten durch die weitgehende US-Sicherheitsgesetzgebung nicht ausreichend geschützt seien. Als Folge des Urteils mussten sowohl die EU als auch die USA eine neue Regelung vereinbaren, um zu verhindern, dass der Informationsaustausch eingeschränkt werden muss. Die EU-Datenschützer hatten der Kommission bis Ende Januar eine Frist gesetzt, ein neues Abkommen auszuhandeln.
Was ist neu?
Der neue Rechtsrahmen soll strengere Pflichten für US-amerikanische Unternehmen und eine stärkere Aufsicht durch das US-Handelsministerium und die Federal Trade Commission (FTC) vorsehen. Die Kooperation mit den europäischen Datenschutzbehörden soll verbessert und der Zugriff auf Daten durch US-amerikanische Behörden soll durch klare Voraussetzungen, Begrenzungen und Kontrolle geregelt werden. Unionsbürger sollen sich bei Datenschutzverletzungen an eine Ombudsperson wenden können, um Datenschutz auch unter US-amerikanischen Recht besser durchsetzen zu können.
Die Kommission hatte allerdings lediglich eine mündliche Einigung über das Nachfolgeabkommen zu Safe Harbor verkündet. Ein schriftlicher Entwurf wurde bislang noch nicht vorgelegt. Der eigentliche Text muss erst noch ausgearbeitet werden. Ob der Schutzschild wirklich hält, hängt maßgeblich von den genauen Formulierungen des EU-US Privacy Shield ab. Letztlich wird sich das Datenschutzniveau nur verbessern, wenn es in den USA tatsächlich zu Gesetzesänderungen kommt. Andernfalls kann eine Einigung über ein Nachfolgeabkommen bestenfalls als vertrauensbildende Maßnahme gesehen werden, deren Bestand vor dem EuGH jedoch unklar ist.
Kritik
Der Digitalverband Bitkom begrüßte die Einigung zwischen der EU-Kommission und der US-Regierung als einen wichtigen Schritt zu mehr Rechtsssicherheit für Unternehmen.Die Datenschützer hingegen tendierten von vornherein zu der Auffassung, dass auch alternative Übermittlungsinstrumente die im Urteil des EuGH angedeuteten rechtsstaatlichen Defizite nicht kompensieren könnten. Auch zur Nachfolgeregelung zeigten sie sich skeptisch. Es würde sehr genau zu prüfen sein, ob die neue Vereinbarung tatsächlich die Kriterien für eine rechtskonforme Datenübermittlung erfüllen kann. Bislang bestehen in den wesentlichen Punkten, die die Europäer als wesentlich für ein angemessenes Datenschutzniveau betrachten, weiterhin Differenzen. Daher wird die politische Einigung lediglich als Signal bewertet, das die Unternehmen beruhigen und die Datenschützer milde stimmen soll.
Nächste Schritte
Der EU-US Privacy Shield ist bislang nur im Stadium einer politischen Einigung, sodass weiterhin keine rechtliche Sicherheit für Bürger und Unternehmen besteht. Entscheidend kommt es nun darauf an, die tatsächlichen Rechtstexte so zu gestalten, dass sie den europäischen Anforderungen gerecht werden. Als problematisch für die weiteren Verhandlungen erweist sich hier der kürzlich in den USA verabschiedete “Cybersecurity Act”. Dieses Gesetz erlaubt es den Unternehmen, den Behörden weitreichend personenbezogene Daten zu übermitteln. Ein formelles Gesetzgebungsverfahren mit Zustimmung des Parlaments wird es auf europäischer Seite im Übrigen nicht geben. Die Kommission wird die rechtlich geforderte Angemessenheit wie bei Safe Harbor im Wege einer Entscheidung bescheinigen. Die Arikel-29-Datenschutzgruppe (WP29) wird der Kommission beratend zur Seite stehen, hat aber bereits angekündigt, auch die noch bestehenden rechtlichen Mechanismen für einen Datentransfer wie den Standardvertragsklauseln und den Binding Corporate Rules einer Prüfung zu unterziehen.
This post is part of a weekly series of articles by doctoral canditates of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact info@hiig.de.
You will receive our latest blog articles once a month in a newsletter.