Im Zuge der anhaltenden Problematik um die „Safe Harbor“-Entscheidung des Gerichtshof der Europäischen Union zur Zulässigkeit internationaler Datentransfers (siehe unsere Beiträge vom 07.10.2015 und 28.10.2015) haben sich bereits am 02.02.2016 die EU-Kommission und die USA auf eine neue Rahmenvereinbarung für den transatlantischen Datentransfer geeinigt, wonach sowohl die Grundrechte von Europäern bei der Datenübermittlung in die USA geschützt als auch die anhaltende Rechtsunsicherheit für Unternehmen nach Wegfall der „Safe Harbor“-Übereinkunft beseitigt werden sollen. 

Nach den Zielen dieses neuen „EU-US Privacy Shield“ sollen zum einen stärkere Verpflichtungen für Unternehmen in den USA in Kraft treten, die personenbezogenen Daten von Europäern zu schützen. Diese korrelieren mit stärkeren datenschutzrechtlichen Aufsichts- und Durchsetzungsinstrumenten durch das US Department of Commerce und die Federal Trade Commission (FTC), die wiederum stärker mit europäischen Datenschutzaufsichtsbehörden kooperieren sollen.

Zum anderen beinhaltet das „EU-US Privacy Shield“ die Selbstverpflichtung der USA, die Zugangsmöglichkeiten öffentlicher Einrichtungen und Behörden nach US-Recht zu personenbezogenen Daten, die unter dem „EU-US Privacy Shield“ übertragen werden, klaren Bedingungen, Beschränkungen und Aufsichtsstrukturen zu unterwerfen, um einen generellen Zugriff auf diese personenbezogenen Daten zu verhindern.

Schließlich sollen Europäer selbst – und das ist bemerkenswert – unter dem „EU-US Privacy Shield“ die Möglichkeit erhalten, hinsichtlich ihrer personenbezogenen Daten bei einer konkreten Ombudsperson Untersuchungen zu veranlassen oder Beschwerden zu erheben. Europäische Datenschutzaufsichtsbehörden sollen Beschwerden von Betroffenen an das Department of Commerce und die FTC weiterleiten können. Zusätzlich soll ein kostenfreies Verfahren zur Alternative Dispute Resolution bereit gestellt werden.

Die deutsche Bundesbeauftragten für den Datenschutz und die Informationsfreiheit meinte indes, es würde gleichwohl sehr genau zu prüfen sein, ob diese sog. „EU-US Privacy Shield“ tatsächlich die nach EU-Recht notwendigen Garantien für rechtskonforme Datenübermittlungen in die USA erfüllen kann. Bis dahin soll aber nach einer Stellungnahme der Artikel 29 Datenschutzgruppe vom 03.02.2016 jedenfalls die Verwendung der EU Standardvertragsklauseln oder von Binding Corporate Rules bis zum 29. Februar 2016 zulässig sein. Bis dahin soll eine abschließende Beurteilung zur der Problematik der zukünftigen transatlantischen Datenverkehrs vorliegen. Zwischenzeitlich, d. h. in den nächsten Wochen, wird eine entsprechende Entscheidung der EU-Kommission („adequacy decision“) entworfen werden, die dann vom Kollegium der EU-Kommission verabschiedet werden soll, nachdem der Rat der Artikel 29 Datenschutzgruppe eingeholt und ein Repräsentanten-Ausschuss der Mitgliedstaaten hinzugezogen worden ist.

 Wir werden vom weiteren Verlauf berichten.