Artikel drucken
03.02.2016

Einigung bei Safe Harbor: EU-US-Privacy-Shield soll Datenschutz garantieren

Das Safe-Harbor-Abkommen wird vom EU-US-Privacy-Shield ersetzt. Die Regelung soll eine neue rechtliche Basis für den Datentransfer in die USA schaffen. Das verkündete gestern Abend EU-Justizkommissarin Vera Jourová auf einer Pressekonferenz in Straßburg. Damit ist zumindest politisch eine Nachfolgeregelung für die im Oktober vom EuGH gekippte Safe-Harbor-Entscheidung gefunden.

Was das aber in der Praxis für Unternehmen heißt, steht noch nicht fest. Denn bis die formale Einigung zu einer Rechtsgrundlage wird, werden laut Jourová noch einige Wochen ins Land gehen. Ein wesentlicher Punkt ist, dass der US-Geheimdienst nun schriftlich zugesichert hat, keine Massenüberwachung mehr von EU-Bürgern durchzuführen. Allerdings können US-Behörden wie FBI, NSA und CIA nach wie vor ohne richterliche Anordnung auf die Server von US-Unternehmen zugreifen. Das geschieht auf der Grundlage des Patriot Acts, der im Oktober 2001 als Reaktion auf die Terroranschläge vom 11. September verabschiedet worden war und immer noch gilt. Neu ist die Position des Ombudsmanns beim US State Department, der als Anlaufstelle bei Beschwerden fungiert und unabhängig von den Geheimdiensten sein soll.

Höhere Anforderungen an datenübermittelnde Unternehmen

Strenger als bisher soll die Aufsicht durch die Federal Trade Commission auf die datenübermittelnden US-Unternehmen sein. Diese müssen zukünftig höhere Anforderungen erfüllen. Die USA und die EU wollen jedes Jahr gemeinsam überprüfen, ob die neuen Regelungen umgesetzt werden. Dazu soll es jährlich einen Bericht der EU-Kommission geben.

Für Safe Harbor hatten sich Unternehmen lediglich auf eine Liste des US-Handelsministerium setzen lassen müssen. Damit verpflichteten sie sich gleichzeitig, die im Abkommen festgelegten Datenschutzbestimmungen zu befolgen. Diese Selbstzertifizierung hatte von Beginn an für Kritik gesorgt. Eine Reihe von Unternehmen hatte sich deswegen lieber auf Standardvertragsklauseln oder Binding Corporate Rules verlassen, um hinsichtlich ihres Datenschutzes regelkonform aufgestellt zu sein.

Artikel 29-Gruppe tagt

Die Einigung ist das vorläufige Ergebnis von zähen Verhandlungen und folgt zwei Tage, nachdem die Übergangsfrist abgelaufen ist. Zurzeit tagt noch das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, die so genannte Artikel 29-Gruppe. Nach wie vor ist nicht geklärt, ob Standardvertragsklauseln oder Corporate Binding Rules zukünftig eine mögliche Lösung für Unternehmen bieten. Die Datenschutzbehörde von Rheinland-Pfalz etwa hatte bereits Ende vergangenen Jahres 122 Unternehmen nach ihrem Umgang mit personenbezogenen Daten befragt. (Eva Flick)

  • Teilen