Anhaltende Rechtsunsicherheit nach Safe-Harbor-Urteil

Bürger, Unternehmen und Aufsichtsbehörden betroffen

[datensicherheit.de, 10.02.2016] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in einer aktuellen Stellungnahme Zweifel an Fortschritten in den Verhandlungen der Europäische Kommission mit den USA nach dem Safe-Harbor-Urteil angemeldet.

 Frist bis Ende Februar 2016

Nach eigenen Angaben der Europäische Kommission seien Eckpunkte einer Vereinbarung mit den Vereinigten Staaten von Amerika zur Neugestaltung von Datenübermittlungen in die USA unter Dach und Fach. Wesentliche Inhalte dieser politischen Einigung seien Verbesserungen beim Rechtsschutz, eine fortwährende Kontrolle unter Einbeziehung der Datenaufsichtsbehörden, eine Verringerung der Zugriffswahrscheinlichkeit auf europäische Daten in den USA und ausdrückliche Verbesserungen der Rechtslage in den USA.
Diese und weitere Punkte seien Gegenstand der politischen Abreden, so der LfDI RLP, Prof. Dieter Kugelmann. Deren genauen Inhalte und insbesondere ihre Verbindlichkeit könnten noch nicht abschließend bewertet werden. Die Datenschützer auf europäischer Ebene hätten eine intensive Prüfung angekündigt, die zunächst von dem Vorliegen eines Textes der Abrede abhänge. Dafür sei der Kommission eine Frist bis Ende Februar 2016 gesetzt worden. Die für Anfang Februar angekündigten Prüfungen, ob Instrumente wie die Standardvertragsklauseln weiter Bestand haben, seien insoweit verschoben worden.

Ungewissheiten bleiben weiter bestehen

Die seit der Entscheidung des EuGH bestehenden Ungewissheiten hinsichtlich der Zulässigkeit von Datentransfers in die USA blieben daher weiter bestehen – zum Nachteil von Millionen Bürgerinnen und Bürgern in Europa, die aktuell nicht wissen könnten, ob mit ihren persönlichen Daten angemessen umgegangen wird; zum Nachteil von Unternehmen, die zur Zeit nur schwer einschätzen könnten, ob wirtschaftlich notwendige Datenübermittlungen in die USA rechtskonform sind; und zum Bedauern der Aufsichtsbehörden, die eine klare und einheitliche Position anstrebten, jetzt aber erst einmal die politische Einigung der Kommission bewerten müssten.
Im Augenblick ließen sich keine verbindlichen und langfristigen Aussagen von Seiten der Aufsichtsbehörden treffen, sondern nur Übergangsregelungen finden. Für die Unternehmen bedeute dies, dass aktuell in Anspruch genommene Instrumentarien zur Übermittlung von Daten in die USA bis Ende Februar 2016 weiter genutzt werden könnten – dies werde der LfDI RLP nicht beanstanden oder unterbinden. Allerdings gelte dies nicht für Datenübermittlungen auf Grundlage der ungültigen Safe-Harbor-Entscheidung der Kommission, denn diese seien seit der Entscheidung des EuGH vom 6. Oktober 2015 unzulässig.

Intensive Beobachtung angekündigt

Das weitere Vorgehen der Aufsichtsbehörden hänge nun angesichts der Umtriebigkeit auf europäischer Ebene von der Bewertung der Rechtslage ab. Man werde die Entwicklung sehr intensiv beobachten und im März 2016 über weitere Schritte beraten und dann informieren, kündigt Kugelmann an.
Man werde den „seit Oktober beschrittenen Weg fortsetzen“. Dazu zählten insbesondere Konsultationen mit Unternehmen im Einzelfall, Hinweise auf Alternativen zu Datenübermittlungen in die USA und erforderlichenfalls die Erhebung weiterer Informationen hinsichtlich der unternehmerischen Praxis.

Klare Grundlage für Datenübermittlungen in die USA gefordert

Die Prüfung der Abrede, die zwischen Kommission und US-Regierung jetzt getroffen wurde, erstrecke sich auch auf die weiteren Instrumentarien für Datenübermittlungen ins Ausland, insbesondere auf Standardvertragsklauseln und „Binding Corporate Rules“.
Auf dem Prüfstand stehe deren weitere Vereinbarkeit mit den Grundsätzen des europäischen Datenschutzes, wie sie das europäische Verfassungsrecht vorgebe und der EuGH entwickelt habe. Professor Kugelmann hält dazu abschließend fest, dass „diese komplizierten rechtlichen Erörterungen“ so früh wie möglich zu einer klaren Grundlage für Datenübermittlungen in die USA durch die Wirtschaft führen müssten. Das sei man allen Beteiligten, Bürgern und Unternehmen, schuldig. Der LfDI RLP werde seinen Teil dazu tun.

Weitere Infromationen zum Thema:

datensicherheit.de, 07.02.2016
Privacy Shield: Heftige Kritik am neuem Datenabkommen zwischen EU und USA

datensicherheit.de, 03.02.2016
TeleTrusT: „EU-US Privacy Shield“ weder Schutz noch Schild