Als durch die Entscheidung des EuGH im Oktober 2015 das Safe Harbor-Abkommen, das seit mehr als einer Dekade die Legitimation für den Transfer von personenbezogenen Daten in die USA darstellte, mit sofortiger Wirkung für nichtig erklärt wurde, hinterließ dies zunächst ein rechtliches Vakuum, das es in den darauf folgenden Monaten zu füllen galt.
Und so stellte die EU-Kommission im Februar diesen Jahres den Entwurf des Nachfolgers vor, genannt EU-US Privacy Shield, der mittlerweile endgültig am 12. Juli 2016 in seiner finalen Fassung verabschiedet wurde. Rechtlich stellt das Abkommen dabei nichts Anderes dar, als eine Angemessenheitsentscheidung gemäß Art. 25 Abs. 6 der Datenschutzrichtlinie. Auf dieser Basis ist ein Transfer personenbezogener Daten in die USA möglich, da hierdurch angenommen wird, es bestehe ein mit der EU vergleichbares „angemessenes Datenschutzniveau“.
Überwachung durch US-Geheimdienste weiterhin möglich
Als der erste Entwurf des Datenschutzschildes veröffentlicht wurde, hagelte es heftige Kritik vor allem von Seiten der Datenschützer. Daraufhin erfolgte eine Überarbeitung des Abkommens, wodurch zwar einige, jedoch nicht alle Kritikpunkte beseitigt worden sind. Der Vorwurf, dass US-Behörden die übertragenen Daten auch bei Anwendung des Privacy Shields für eine ungezielte Massenüberwachung nutzen können, hat weiterhin Bestand. Ein weiterer Punkt ist, dass EU-Bürger weiterhin kaum Rechte besitzen, um gegen die unzulässige Verarbeitung ihrer Daten durch US-Firmen vorzugehen. Die USA versprechen lediglich, dass ein Zugriff auf die Daten nur in engem Rahmen erfolgen werde.
Zuletzt wird auch scharfe Kritik an dem bereits von Safe Harbor bekannten Prinzip der Selbstzertifizierung geübt, da seitens der USA keine Kontrollorgane für die Einhaltung der für die Zertifizierung notwendigen Vorgaben in Unternehmen eingerichtet wurden. Und somit die durchaus begründete Sorge besteht, das Privacy Shield sei lediglich ein weiterer Papiertiger.
Bereits seit dem 01. August 2016 ist es US-amerikanischen Unternehmen nunmehr möglich, sich gemäß den Vorgaben des Privacy Shields selbst zu zertifizieren, was jedoch gegenüber dem US Department of Commerce jährlich erneuert werden muss.
Demnach gibt es nun auch eine Liste mit Unternehmen, die sich bereits entsprechend den Vorgaben zertifiziert haben, genau wie bei dem Safe Harbor-Abkommen zuvor. Diese beinhaltet darüber hinaus Informationen zu den jeweiligen Ansprechpartnern für Fragen und Beschwerden zur Datenverarbeitung innerhalb des zertifizierten Unternehmens.
Was bedeutet das Privacy Shield für Unternehmen?
Unternehmen, die Datentransfers in die USA vornehmen, können diese, neben der Tatsache, dass die Übertragung selbst aufgrund eines zulässigen Zweckes erfolgen muss, seit dem 01. August 2016 auf das Privacy Shield stützen. Voraussetzung hierfür ist die Selbstzertifizierung des Datenimporteurs in den USA gegenüber dem US-Department of Commerce. Datenschutzrechtlich entsteht hierdurch ein „angemessenes Datenschutzniveau“ im Sinne des § 4b Abs. 2 BDSG.
An dieser Stelle ist jedoch anzumerken, dass die Zertifizierung gemäß den Vorgaben des Privacy Shields zwar eine kurzfristige Legitimierung von internationalen Datentransfers ermöglicht, mittel- bis langfristig jedoch auf andere Instrumente zurückgegriffen werden sollte, so etwa EU-Standardvertragsklauseln, um ein angemessenes Datenschutzniveau zu gewährleisten. Aufgrund der massiven Kritik von vielen Seiten, hierunter sowohl Datenschützer als auch Aufsichtsbehörden, ist bereits jetzt abzusehen, dass der Nachfolger des Safe Harbor-Abkommens ebenfalls zur Entscheidung vor dem EuGH landen und von diesem voraussichtlich gekippt werden wird. Somit ist es weiterhin empfehlenswert, neben dem Datenschutzschild auch noch weitere Möglichkeiten der Rechtfertigung eines transatlantischen Austauschs personenbezogener Daten zu berücksichtigen.