09
Feb
2016

Datenschutz und IT-Recht

Aktuelles zu Safe Harbor - Stellungnahme der Art. 29-Datenschutzgruppe

Art. 29-Datenschutzgruppe will "EU-US Privacy Shield" prüfen. Datentransfer in die USA auf Basis von Standardvertragsklauseln und Binding Corporate Rules bleibt vorerst zulässig.

Nach der Verkündung des EuGH-Urteils zu Safe Harbor,  hat die Art. 29-Datenschutzgruppe dessen Folgen insbesondere für Datentransfers in die USA analysiert. Im Ergebnis wurden vier wesentliche Garantien identifiziert, die bei allen Datentransfers in Drittstaaten eingehalten werden sollen. Nach Abschluss der Verhandlungen zwischen der EU und den USA über die Einführung eines "EU-US Privacy Shield" veröffentlicht die Art. 29-Datenschutzgruppe nun eine erste Stellungnahme  (englische Fassung ). Darin fordert die Art. 29-Datenschutzgruppe die EU-Kommission auf, ihr die Verhandlungsergebnisse zum "EU-US Privacy Shield" bis Ende Februar 2016 zur Verfügung zu stellen, um diese unter Berücksichtigung der erforderlichen Garantien prüfen zu können. Anschließend will die Art. 29-Datenschutzgruppe prüfen, ob Standardvertragsklauseln und Bindung Corporate Rules für Datentransfers in die USA weiterhin genutzt werden können. Bis dahin sollen die vorgenannten Übermittlungsinstrumente zulässig bleiben.

Garantien für Datentransfers in Drittstaaten

Die Art. 29-Datenschutzgruppe,  ein unabhängiges Gremium, das die EU-Kommission in Fragen des Datenschutzes berät, fordert  unter Berücksichtigung des Grundrechtsschutzes  und der nachrichtendienstlichen Tätigkeiten der Staaten die folgenden Garantien:

  • "Die Datenverarbeitung sollte auf eindeutigen, präzisen und öffentlich zugänglichen Regeln basieren: Dies bedeutet, dass jeder, der angemessen informiert wurde, absehen können sollte, was im Zuge der Übermittlung mit seinen Daten passieren wird.
  • Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die berechtigten Ziele müssen unter Beweis gestellt werden: Es muss ein Gleichgewicht zwischen dem Ziel, der Datenerhebung und dem -zugriff zu dienen (in der Regel nationale Sicherheit) und den Rechten des Einzelnen gefunden werden.
  • Es sollte einen unabhängigen Kontrollmechanismus geben, der sowohl wirksam als auch unparteiisch ist: Dabei kann es sich entweder um einen Richter oder ein anderes unabhängiges Gremium handeln, sofern dieser bzw. dieses in ausreichendem Maße fähig ist, die erforderlichen Kontrollen auszuführen.
  • Dem Bürger müssen wirksame Rechtsbehelfe zur Verfügung stehen: Jeder sollte das Recht haben, seine Rechte vor einem unabhängigen Gremium zu verteidigen."


EU-US Privacy Shield

Nach dem Safe Harbor Urteil des EuGH, hat die Art. 29-Datenschutzgruppe am 16. Oktober 2015 eine Stellungnahme  (englische Fassung ) veröffentlicht. Darin forderte sie die EU-Kommission auf, bis Ende Januar 2016 eine Lösung mit den US-amerikanischen Behörden zu finden. Am 02. Februar 2016 teilte die EU-Kommission mit , dass mit dem "EU-US Privacy Shield" Rahmenbedingungen für ein Übereinkommen getroffen wurden.

Die Art. 29-Datenschutzgruppe hat die EU-Kommission nun aufgefordert, bis Ende Februar 2016 alle Unterlagen zur Verfügung zu stellen, die eine rechtliche Bewertung des "EU-US Privacy-Shield" unter Berücksichtigung der vorgenannten Garantien ermöglichen. Bis zum Abschluss der Prüfung sollen Standardvertragsklauseln und Bindung Corporate Rules für Datentransfers in die USA weiterhin genutzt werden können.

Folgen für Unternehmen

Die Stellungnahmen der Art. 29-Datenschutzgruppe sind für deutsche Aufsichtsbehörden nicht bindend, dienen aber als wichtige Orientierung. Die Aufsichtsbehörden in Hessen  und Bayern  ließen bereits über ihre Webseiten verlauten, dass sie die Auffassung der Art. 29-Datenschutzgruppe teilen und bis zum Abschluss der Prüfung Standardvertragsklauseln und Bindung Corporate Rules zulässige Übermittlungsinstrumente bleiben.

Für Unternehmen, die personenbezogene Daten in die USA übermitteln, bedeutet dies im Ergebnis ein kurzes Aufatmen. Die Kritik an dem "EU-US Privacy Shield" ist jedenfalls groß. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses und Verhandlungsführer des Europäischen Parlaments für die Datenschutzverordnung, bezeichnet den Rechtsrahmen bereits als "Ausverkauf des EU-Grundrechts auf Datenschutz" . Das Prüfungsergebnis der Art. 29-Datenschutzgruppe ist voraussichtlich im April 2016 zu erwarten.

Autor: Dr. Karsten Krupna

Siehe auch: Aktuelles zu Safe-Harbor - nach "Drei-Phasen-Plan" drohen ab Februar 2016 Untersagungsanordnungen und Bußgelder

» zur Übersicht