Neues zur EU-Datenschutzgrundverordnung und zum EU-US Privacy Shield

15.04.2016

I. Artikel 29-Datenschutzgruppe äußert sich zum „Privacy Shield“

1. Das EU-US Privacy Shield

Im September 2015 hat der Europäische Gerichtshof (EuGH) das zwischen den USA und der EU vereinbarte „Safe-Harbor Abkommen“ für unwirksam erklärt. Seither können sich EU-Unternehmen, die Daten in die USA übermitteln wollen, allein auf EU-Standardvertragsklauseln, „Binding Corporate Rules“ oder Einwilligungen der Betroffenen stützen. Diese Übergangslösung erwies sich in der Praxis als bürokratisch, aufwendig und umständlich. Hieran knüpft nun das EU-US Privacy Shield an, das quasi als „Safe-Harbor-Abkommen 2.0“ wiederum ein Selbstzertifizierungsverfahren der betroffenen US-Unternehmen vorsieht. Im Vergleich zu Safe-Harbor verspricht es ein spürbares Plus an Datenschutz (wir berichteten).

2. Die Stellungnahme der Art. 29-Datenschutzgruppe

Zum Entwurf der Privacy Shield-Regelungen äußerte sich nun am 13. April 2016 die Artikel 29-Datenschutzgruppe, ein gemeinsames Gremium aller europäischen Datenschutzbehörden, in einem Arbeitspapier. Sie nannte die Fortschritte in ihrer Presseerklärung „ermutigend und positiv“, kritisierte jedoch zugleich, dass zentrale Grundsätze, wie z.B. die Verpflichtung, nicht mehr benötigte Daten zu löschen oder die Weitergabe personenbezogener Daten durch zertifizierte US-Unternehmen, nicht ausreichend klar geregelt seien. Insbesondere auch die Zugriffsmöglichkeiten von US-Geheimdiensten auf in den USA gelagerte Daten seien durch das Privacy Shield-Abkommen noch nicht ausreichend begrenzt. Festzustellen sei zwar, dass der Datenzugriff der US-Behörden im Vergleich zu Safe-Harbor deutlich erschwert wird. Allerdings fehle auch dem vorgesehenen Ombudsmann als Beamter des amerikanischen Außenministeriums die für seine Tätigkeit nötige Unabhängigkeit.

3. Weitere Schritte

Anschließend an diese – im Ergebnis nicht bindende – Stellungnahme der Artikel 29-Datenschutzgruppe muss nunmehr das Ausschussverfahren nach Artikel 31 der Datenschutzrichtlinie (95/46/EG) durchgeführt werden, bevor die Europäische Kommission das Privacy Shield verabschieden kann.

II. DS-GVO verabschiedet

Auch im Hinblick auf die EU-Datenschutz-Grundverordnung (DS-GVO) hat sich diese Woche einiges bewegt. Die Grundverordnung soll nach Inkrafttreten einen EU-einheitlichen datenschutzrechtlichen Standard sicherstellen (wir berichteten).

Am 14. April 2016 hat nun das EU-Parlament die DS-GVO verabschiedet. Ausstehend ist damit allein die Veröffentlichung im Amtsblatt, damit die Frist bis zur Gültigkeit der DS-GVO in allen EU-Ländern zu laufen beginnt. Diese beträgt zwei Jahre und 20 Tage nach Veröffentlichung, also ist voraussichtlich im Mai 2018 mit einer Ablösung des geltenden Bundesdatenschutzgesetzes zu rechnen.

Für Unternehmen wird diese Gesetzesänderung spürbare Auswirkungen mit sich bringen: Direkt im Anschluss an die zweijährige Übergangsfrist gelten für sie die neuen Regelungen, durch die sich im Falle eines Verstoßes insbesondere auch die jeweiligen Bußgeldsummen vervielfacht haben. Während der bisherige Bußgeldrahmen „nur“ bis zu 300.000 Euro pro Verstoß vorsah, sind in Zukunft Bußgelder von bis zu vier Prozent des globalen Unternehmensumsatzes möglich. Für Führungskräfte und Manager sieht die DS-GVO sogar Strafen von bis zu 20 Millionen Euro vor.

Wir empfehlen daher allen Unternehmen, die nun verbleibende Zeit bis zur Gültigkeit der Verordnung zu nutzen und ihre Datenschutzkonzepte auf die zukünftige Rechtslage anzupassen.

 

Haben Sie Fragen? Kontaktieren Sie gerne: Peter Bräutigam, Daniel Rücker oder Esther Loeck
Practice Group:      IT, Outsourcing & Datenschutz