10.02.2016

EU-US Privacy Shield

Mit Pressemitteilung vom 2. Februar 2016 hat die EU-Kommission die Einigung auf eine Nachfolgerin zur vom EuGH (mit Entscheid C-362/14) für ungültig erklärten Safe Harbor Regelung bekanntgegeben: der EU-US Privacy Shield soll inskünftig den Datentransfer von der EU in die USA auf eine praktikable sowie rechtskonforme Weise ermöglichen.

Der nach wie vor wenig bekannte Regelungsinhalt des EU-US Privacy Shields umfasst u.a. folgende Eckpunkte:
  • US-Behörden sollen nur „unter rechtlich ganz klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang“ auf personenbezogene Daten zugreifen können. 
  • Ein Datenzugriff durch US-Behörden aus Gründen der „nationalen Sicherheit“ soll nur ausnahmsweise sowie „unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen“ möglich sein; er "darf nur erfolgen, soweit er notwendig und verhältnismässig ist“ und muss im Rahmen eines Rechtsschutzverfahrens überprüft werden können. 
  • Ein „allgemeiner Zugriff“ bzw. "eine massive oder wahllose Überwachung" durch US-Behörden soll nicht mehr möglich sein. 
  • US-Behörden sollen mit europäischen Datenschutzbehörden generell verstärkt zusammenarbeiten. 
  • Unternehmen, die "Personaldaten [human resources data] aus Europa“ verarbeiten, müssen sich verpflichten, „Entscheidungen der europäischen Datenschutzbehörden nachzukommen“. 
  • Die Rechtskonformität einer Datenverarbeitung gemäss EU-US Privacy Shield soll von jeder betroffenen Person mit verschiedenen Rechtsbehelfen überprüft werden können: (i) Beschwerde: Unternehmen müssen Beschwerden betreffend EU-US Privacy Shield selber bearbeiten und innerhalb konkreter Fristen beantworten, (ii) europäische Datenschutzbehörden können Beschwerden an die zuständige US-Behörde (US Department of Commerce oder FTC) weiterleiten, (iii) kostenlose Verfahren zur alternativen Streitbeilegung, (iv) Ombudsstelle für Beschwerden gegen Zugriffe durch Nachrichtendienste. 
  • US- und EU-Behörden sollen gemeinsam eine jährliche Überprüfung der Umsetzung des EU-US Privacy Shields durchführen. 
  • Die Teilnahme am EU-US Privacy Shield soll (wie bei der Safe Harbor Regelung) auf einer Selbstzertifizierung der interessierten US-Unternehmen beruhen; US-Recht muss hierzu nicht angepasst werden. 

In den „kommenden Wochen“ soll ein Entwurf der „Adäquanzerklärung“ (bzw. "Angemessenheitsbeschluss") zum EU-US Privacy Shield vorgelegt und der Art. 29-Datenschutzgruppe sowie einem weiteren Ausschuss zur Stellungnahme unterbreitet werden.

Weitere Quellen:
Facts Sheet des US Department of Commerce zum EU-US Privacy Shield vom 2. Februar 2015
Fragen & Antworten des US Department of Commerce zum EU-US Privacy Shield auf Twitter vom 3. Februar 2016
EuGH C-362/14 „Safe Harbor Urteil“ vom 6. Oktober 2015
Erklärung der Art. 29-Datenschutzgruppe zu den Folgen des „Safe Harbor Entscheids“ vom 16. Oktober 2015
Leitlinien der EU-Kommission zu den Folgen des „Safe Harbor Entscheids“ vom 6. November 2015
© LawBlogSwitzerland.ch
Maira Gall