Europäische Daten­schutz­behörden fahren „auf Sicht“ - vorüber­gehende Guidance für Daten­transfers in die USA

Nach der politischen Einigung zwischen EU-Kommission und den USA auf ein neues Datenschutzabkommen, den „EU-US Privacy Shield “ können betroffene Unternehmen kurz durchatmen – mehr aber auch nicht. Denn die Artikel-29-Gruppe, ein Abstimmungsgremium der europäischen Datenschutzaufsichtsbehörden, will die Einigung nun in den nächsten Wochen zwar prüfen. Doch zwischen den Zeilen schwingt eine gehörige Portion Skepsis mit. Völlig zu Recht, denn in seiner jetzigen Form genügt das Abkommen kaum den hohen Anforderungen, die der EuGH an den Transfer von Daten in die USA stellt. An dieser Stelle müssen von amerikanische Seite noch konkrete Schritte des Gesetzgebers erfolgen, um eine Massenüberwachung europäischer Daten auszuschließen. Andernfalls werden auch US-Konzerne den Aufbau ihrer Serverkapazitäten in Europa weiter forcieren müssen.

So stellt sich die Lage heute dar: Grundsätzlich begrüßt die Art. 29-Gruppe grundsätzlich die Einigung auf die neuen Rahmenbedingungen im Rahmen des EU-US Privacy Shield. Sie betont aber, dass die Ausarbeitung des Abkommens zu Gunsten der Betroffenen bestimmte essentielle Garantien absichern muss. Dabei behält sich die Gruppe eine gründliche Prüfung des Abkommens vor und äußert schon jetzt Besorgnis, ob das EU-US Privacy Shield diese Garantien vor dem Hintergrund bestehender gesetzlicher Rahmenbedingungen in den USA überhaupt wird absichern können.

Bis sich die europäischen Datenschützer in den nächsten voraussichtlich vier bis acht Wochen ein abschließendes Bild über das noch auszuformulierende Abkommen gebildet haben, geben sie betroffenen Unternehmen einstweilen folgende Guidance an die Hand:

1. Für auf Safe-Harbor-gestützte Datenübermittlungen in die USA gibt es kein ausdrückliches Moratorium mehr. Die nationalen Datenschutzaufsichtsbehörden sollen vielmehr auf Einzelfallbasis entscheiden. Untersagungsverfügungen und Bußgelder sind damit unseres Erachtens ab sofort zumindest nicht ausgeschlossen. Es bleibt abzuwarten, ob sich einzelne Datenschutzbehörden hierzu noch weiter positionieren.
2. Die Art. 29-Gruppe stellt auch andere bewährte Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus auf Seiten beteiligter US-Unternehmen auf den Prüfstand, konkret EU-Standardvertragsklauseln und Binding Corporate Rules. Erst vor dem Hintergrund der ausformulierten Fassung des EU-US Privacy Shield möchte die Gruppe prüfen, inwieweit EU-Standardvertragsklauseln sowie Binding Corporate Rules weiterhin für Datentransfers in die USA genutzt werden können. Zumindest bis zu einer gegenteiligen Äußerung der Art. 29-Gruppe ist damit noch von einer rechtmäßigen Nutzbarkeit dieser alternativen Mechanismen auszugehen.

Es bleibt also spannend, auf welche konkreten Details eines EU-US Privacy Shield sich die Verhandlungsführer beider Parteien einigen werden und ob die Datenschutzbehörden diese Einigung dann auch für ausreichend befinden.