Privacy Shield: Datentransfer vorerst weiter möglich

Das Privacy Shield hielt der jährlichen dritten Überprüfung stand. Der Datentransfer zwischen der USA und der EU ist somit auch weiterhin ohne großen juristischen Aufwand möglich. Vorerst.

Vergangenen Mittwoch stellte die Europäische Kommission die dritte jährliche Überprüfung des Privacy Shield vor. Obwohl von einer „Erfolgsgeschichte“ gesprochen wird, räumt die EU-Kommission auch ein Optimierungspotenzial ein.

Das Privacy Shield ist als Rechtsrahmen 2016 in Kraft getreten. Es löste damit das zuvor bestehende „Safe Harbour“ – Abkommen ab. Dieses wurde im Herbst 2015 vom Europäischen Gerichtshof (EuGH) auf Grundlage einer Klage des österreichischen Juristen Max Schrems außer Kraft gesetzt. Seither ermöglicht das Abkommen des Privacy Shields die Übertragung von personenbezogenen Daten zwischen USA und EU ohne großen juristischen Aufwand. Inzwischen können mehr als 5000 amerikanische Unternehmen ein solches Privacy Shield Zertifikat vorweisen. Das Privacy Shield verpflichtet amerikanische Unternehmen personenbezogene Daten von EU-Bürgern nach den Standards der EU zu schützen. Eine Liste aller amerikanischen Unternehmen, die ein solches Privacy Shield Zertifikat erworben haben kann dabei jederzeit online eingesehen werden (https://www.privacyshield.gov/list).

Baldige Unwirksamkeit durch nächste Schrems-Klage?

Auch gegen das Privacy Shield geht Schrems juristisch vor. Seine Klage liegt derzeit vor dem obersten europäischen Gericht. Am 12. Dezember wird die Stellungnahme des EU-Generalanwalts erwartet. Wie sich das Gericht entscheidet, bleibt abzuwarten. Schrems zumindest zeigte sich zuversichtlich, dass das Gericht das Privacy Shield-Abkommen für unwirksam erklären wird.

Auswirkungen eines Wegfalls

Angesichts des möglichen Wegfalls des Privacy Shields Abkommens stellt sich die Frage nach den Auswirkungen. Sicher ist, dass die datenschutzkonforme Verarbeitung personenbezogener Daten über den Atlantik hinweg mit erheblichen juristischen Schwierigkeiten verbunden wäre. Dies würde ein Risiko für die digitale Wirtschaft bedeuten.

Alternativen zum Privacy Shield finden sich in Art. 46 DSGVO. Amerikanische Firmen können sog. „Binding Corporate Rules“ festlegen und von der zuständigen Aufsichtsbehörde genehmigen lassen. Ebenfalls steht es Unternehmen frei einen datenschutzrechtlichen Verhaltenskodex „Code of Conduct“ auszuarbeiten. Sobald dieser von der Aufsichtsbehörde genehmigt ist, kann auf seiner Grundlage ein Datentransfer stattfinden.

Eine weitere Alternative bieten die sog. „Standarddatenschutzvertragsklauseln“. Hierbei handelt es sich um von der EU-Kommission vergebene Verträge, die zwischen dem Datenimporteur- und -Exporteur abgeschlossen werden können. Bei der Verwendung sollte jedoch unbedingt darauf geachtet werden, dass der vergebene Vertragstext nicht umgeändert wird, da die Gültigkeit sonst gefährdet wäre. Zusätzlich steht Unternehmen offen, offiziell anerkannte Datenschutz-Zertifizierungen anzustreben.