Mit Pressemitteilung vom 2. Februar 2016 hat die EU-Kommission die Einigung auf eine Nachfolgerin zur vom EuGH (mit Entscheid C-362/14) für ungültig erklärten Safe Harbor Regelung bekanntgegeben: der EU-US Privacy Shield soll inskünftig den Datentransfer von der EU in die USA auf eine praktikable sowie rechtskonforme Weise ermöglichen.
Der nach wie vor wenig bekannte Regelungsinhalt des EU-US Privacy Shields umfasst u.a. folgende Eckpunkte:
In den „kommenden Wochen“ soll ein Entwurf der „Adäquanzerklärung“ (bzw. "Angemessenheitsbeschluss") zum EU-US Privacy Shield vorgelegt und der Art. 29-Datenschutzgruppe sowie einem weiteren Ausschuss zur Stellungnahme unterbreitet werden.
Der nach wie vor wenig bekannte Regelungsinhalt des EU-US Privacy Shields umfasst u.a. folgende Eckpunkte:
- US-Behörden sollen nur „unter rechtlich ganz klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang“ auf personenbezogene Daten zugreifen können.
- Ein Datenzugriff durch US-Behörden aus Gründen der „nationalen Sicherheit“ soll nur ausnahmsweise sowie „unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen“ möglich sein; er "darf nur erfolgen, soweit er notwendig und verhältnismässig ist“ und muss im Rahmen eines Rechtsschutzverfahrens überprüft werden können.
- Ein „allgemeiner Zugriff“ bzw. "eine massive oder wahllose Überwachung" durch US-Behörden soll nicht mehr möglich sein.
- Das US Department of Commerce sowie die Federal Trade Commission (FTC) werden zu „intensiveren Kontroll- und Durchsetzungsmassnahmen“ verpflichtet.
- US-Behörden sollen mit europäischen Datenschutzbehörden generell verstärkt zusammenarbeiten.
- Unternehmen, die "Personaldaten [human resources data] aus Europa“ verarbeiten, müssen sich verpflichten, „Entscheidungen der europäischen Datenschutzbehörden nachzukommen“.
- Die Rechtskonformität einer Datenverarbeitung gemäss EU-US Privacy Shield soll von jeder betroffenen Person mit verschiedenen Rechtsbehelfen überprüft werden können: (i) Beschwerde: Unternehmen müssen Beschwerden betreffend EU-US Privacy Shield selber bearbeiten und innerhalb konkreter Fristen beantworten, (ii) europäische Datenschutzbehörden können Beschwerden an die zuständige US-Behörde (US Department of Commerce oder FTC) weiterleiten, (iii) kostenlose Verfahren zur alternativen Streitbeilegung, (iv) Ombudsstelle für Beschwerden gegen Zugriffe durch Nachrichtendienste.
- US- und EU-Behörden sollen gemeinsam eine jährliche Überprüfung der Umsetzung des EU-US Privacy Shields durchführen.
- Die Teilnahme am EU-US Privacy Shield soll (wie bei der Safe Harbor Regelung) auf einer Selbstzertifizierung der interessierten US-Unternehmen beruhen; US-Recht muss hierzu nicht angepasst werden.
In den „kommenden Wochen“ soll ein Entwurf der „Adäquanzerklärung“ (bzw. "Angemessenheitsbeschluss") zum EU-US Privacy Shield vorgelegt und der Art. 29-Datenschutzgruppe sowie einem weiteren Ausschuss zur Stellungnahme unterbreitet werden.
Weitere Quellen:
Fragen & Antworten des US Department of Commerce zum EU-US Privacy Shield auf Twitter vom 3. Februar 2016
EuGH C-362/14 „Safe Harbor Urteil“ vom 6. Oktober 2015
Erklärung der Art. 29-Datenschutzgruppe zu den Folgen des „Safe Harbor Entscheids“ vom 16. Oktober 2015
Leitlinien der EU-Kommission zu den Folgen des „Safe Harbor Entscheids“ vom 6. November 2015