Folgen der Safe-Harbor-Entscheidung des EuGH / Privacy Shield

Nach der Safe Harbor-Entscheidung des Europäischen Gerichtshofs (EuGH) fehlt eine Rechtsgrundlage für Datentransfers in die USA. Ein dem EuGH-Urteil entsprechendes Datenschutzniveau ist in den USA in der nächsten Zeit nicht zu erwarten. Europäische Unternehmen, die dennoch Daten in die USA übermitteln, müssen nun selbst Regelungen treffen, um nicht gegen das Recht zu verstoßen. Dies betrifft auch Betriebsräte, die im Vertrauen auf Safe Harbor dem Transfer von Beschäftigtendaten in die USA zugestimmt haben.

Das Netzwerk Datenschutzexpertise hat das Urteil des Europäischen Gerichtshofs (EuGH) zu Safe Harbor vom 06.10.2015 sowie die darauf ergangenen Stellungnahmen, insbesondere der EU-Kommission und der europäischen Datenschutzbehörden, detailliert analysiert und benennt Kriterien, die Export-Import-Verträge enthalten müssen, um künftig rechtssicher personenbezogene Daten aus der EU in die USA übermitteln zu können.

Das Netzwerk Datenschutzexpertise hat außerdem einen Export-Import-Standardvertrag erarbeitet, der zwischen Datenexporteur und -importeur abzuschließen ist. Dieser Vertrag ermöglicht es, künftig personenbezogene Daten von Europa in die USA zu transferieren und zugleich den EuGH-Anforderungen an den Grundrechtsschutz zu genügen.

Sie finden hier außerdem eine Dokumentation der öffentlichen Informationen zum Privacy Shield und dessen Bewertung.

Wenige Wochen nach den ersten Pressemeldungen über eine Nachfolgeregelung über ein Safe Harbor Abkommen - das so genannte „Privacy Shield“ - wurden die Dokumente der Übereinkunft veröffentlicht. Die Analyse der mit ihren zahlreichen Anlagen veröffentlichten Dokumente des "Netzwerks Datenschutzexpertise" zeigt, dass zahlreiche Gründe dafür sprechen, dass auch das "Privacy Shield" nicht mit EU-Recht vereinbar ist. Die bereits angekündigten Klagen gegen die Neuregelung haben damit gute Aussicht auf Erfolg.

Historie

Am 12.07.2016 beschloss die Kommission der Europäischen Union (EU) das sog. EU-US-Datenschutzschild (Privacy Shield), mit dem eine rechtliche Grundlage für die Übermittlung personenbezogener Daten von Europa in die Vereinigten Staaten von Amerika (USA) geschaffen wird.

zur Pressemitteilung der Europüischen Kommission [ext.]

Dieser Beschluss war nach Ansicht von EU-Gremien und US-Behörden notwendig geworden, nachdem der Europäische Gerichtshof (EuGH) am 06.10.2015 den Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 aufgehoben hatte, weil bei der Übermittlung gemäß den Safe-Harbor-Regeln in die USA Grundrechte der Europäischen Grundrechte-Charta (Art. 7, 8, 47 EuGRCh) verletzt wurden.

zur Pressemitteilung des Gerichtshofs der Europäischen Union (pdf) [ext.]

Am 29.02.2016 legte die EU-Kommission einen Entwurf für einen Rechtsrahmen mit dem neuen Namen EU-US-Privacy Shield vor, welcher Safe Harbor ersetzen sollte. Dieser Entwurf wurde vom Netzwerk Datenschutzexpertise in einem Gutachten vom 07.03.2016 analysiert mit dem Ergebnis, dass auch der neue Rechtrahmen gegen europäische Grundrechte verstößt und deshalb keinen rechtlichen Bestand haben kann.

zum Gutachten des Netzwerk Datenschutzexpertise (pdf)

Die Artikel-29-Datenschutzgruppe, der Zusammenschluss der europäischen Datenschutzaufsichtsbehörden, formulierte am 13.04.2016 ihre Kritik an den Entwürfen für das EU-US-Privacy Shield (Working Paper – WP – 238).

zum Working Paper WP -238 (pdf) [ext.]

Dieser Kritik schloss sich mit Resolution vom 26.05.2016 mehrheitlich das Plenum des Europäischen Parlaments an.

zur Pressemitteilung des Europäischen Parlamentes (pdf) [ext.]

Nachdem die endgültigen Dokumente zum EU-US-Privacy Shield öffentlich bekannt wurden, wurden diese umgehend, z. B. von der Deutschen Vereinigung für Datenschutz e. V. (DVD) kritisiert, weil die Änderungen gegenüber dem völlig unzureichenden ersten Entwurf des Privacy Shields die grundrechtlichen Bedenken an dem Rechtsrahmen nicht beseitigen konnten.

zur Pressemitteilung der DVD (pdf) [ext.]

Dessen ungeachtet stimmte zunächst der Rat der EU – bei Enthaltung von Österreich, Kroatien, Slowenien und Bulgarien – dem EU-US-Privacy Shield mit Datum vom 08.07.2016 zu.

zur Pressemitteilung des Europäischen Rates (pdf) [ext.]

Dem folgte dann am 12.07.2016 der Beschluss der EU-Kommission, mit dem diese eine Angemessenheitsentscheidung gemäß Art. 26 Abs. 6 der Europäischen Datenschutzrichtlinie (EG-DSRl) traf.

zum Beschluss der EU-Kommission (pdf) [ext.]

Dieser Beschluss der EU-Kommission stieß bei Industrievertretern auf Zustimmung, während Datenschützer diesen heftig kritisierten und voraussagten, dass dieser erneut vom EuGH aufgehoben werden wird.

zur Presseerklärung der DVD (pdf) [ext.]