Czech Republic: Der Privacy Shield als neuer Rahmen für die Übermittlung personenbezogener Daten von der EU in die Vereinigten Staaten
Im Gefolge der Entscheidung des Europäischen Gerichtshofs vom 6.10.2015, welche der freien Weitergabe von personenbezogenen Daten in die USA auf der Grundlage des Safe Harbor-Programms ein Ende setzte, haben die Europäische Kommission und die Vereinigten Staaten einen neuen Rahmen für die Übermittlung personenbezogener Daten aus Europa in die USA ausgehandelt, unter der Bezeichnung Privacy Shield. An die Stelle des „Sicheren Hafens“ tritt damit ein „Schutzschild“, mit der es wieder möglich gemacht werden soll, Daten aus der EU in die USA auf vereinfachtem Wege zu übermitteln, ohne zuerst die Genehmigung der nationalen Datenschutzbehörden einholen zu müssen, eine Standardvertragsklausel mit dem Datenverarbeiter in den USA zu schließen oder verbindliche Unternehmensregelungen („binding corporate rules“) abzuschließen.
Am 29. Februar 2016 veröffentlichte die Europäische Kommission Rechtstexte als Grundlage für die Verabschiedung eines neuen Systems für den Datenschutz zwischen der EU und den USA. Darüber hinaus veröffentlichte die Europäische Kommission den Entwurf einer sog. Adäquanzentscheidung über die Angemessenheit des gebotenen Schutzes, sowie die Texte, die den eigentlichen Datenschutzschild zwischen der EU und den USA verkörpern sollen, so etwa schriftliche Zusagen der US-Regierung hinsichtlich der Durchsetzbarkeit der Vereinbarungen (die im US-Bundesregister veröffentlicht werden), einschließlich Zusicherungen seitens der Amerikaner hinsichtlich der Garantien und Restriktionen, was den Zugang öffentlicher Stellen zu den Daten anbelangt, denen zufolge die Garantien für die Datenübermittlung gemäß dem neuen System den Datenschutzstandards der EU gleichwertig sind.
Wie schon Safe Harbor so beruht auch Privacy Shield auf dem Prinzip einer „Selbstzertifizierung“, mit der die betreffende Gesellschaft auf eine Liste amerikanischer Unternehmen gelangt, an die personenbezogene Daten aus der EU im vereinfachten Verfahren weitergegeben werden dürfen. Um einen ausreichenden Schutz der persönlichen Daten zu gewährleisten, werden neue Maßnahmen implementiert, auf deren Grundlage z.B. die US-Behörden überwachen und alljährlich auswerten sollen, inwieweit die in den Datenaustausch eingebundenen Unternehmen den erforderlichen Standards genügen; bei deren Nichteinhaltung sollen Strafen verhängt oder das Unternehmen von der Unbedenklichkeitsliste gestrichen werden. Für den Schutz der EU-Bürger soll die Einführung einer Möglichkeit sorgen, sich mit Beschwerden direkt an amerikanische Unternehmen zu wenden oder Wege der alternativen Streitbeilegung zu beschreiten, sowie die Einrichtung des Amts eines unabhängigen Ombudsmanns beim Außenministerium der Vereinigten Staaten.
Ob freilich der Privacy Shield wirklich ausreichenden Schutz für personenbezogene Daten aus der EU leistet, wird erst die Zeit zeigen. Fachleute sind der Auffassung, der Privacy Shield sei lediglich ein Feigenblatt, mit dem das ursprüngliche Safe Harbor-Abkommen zum Selbstzweck retuschiert wird. Von daher ist nicht auszuschließen, dass den Schutzschild später dasselbe Schicksal ereilt wie schon im Falle des Sicheren Hafens.
Quelle: Rechtstexte der Europäischen Kommission zum EU-U.S. Privacy Shield