EU-US „Privacy Shield“: Mit „heißer Nadel gestrickt“
Seit letzter Woche liegt nun endlich der Vorschlag für den so genannten „EU-US Privacy Shield“ auf dem Tisch. Der „Schutzschild“ soll die Nachfolgeregelung zum „Safe Harbor Abkommen“ sein, das bisher den Datenaustausch zwischen der Europäischen Union und den USA regelte und im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden war. Doch allein schon die Tatsache, dass die Einigung erst am Abend des 2. Februar 2016 – zwei Tage nach Ablauf der von europäischen Datenschutzbehörden gesetzten Frist – vorgestellt wurde, lässt vermuten, dass da eine Vereinbarung „mit heißer Nadel gestrickt“ wurde.
Doch was steht denn nun in der neuen Vereinbarung? Die wichtigsten Fakten im Überblick:
- Das amerikanische Handelsministerium überwacht den Schutz der Daten europäischer Bürger und sanktioniert entsprechende Verstöße gegen den Datenschutz.
- Die Zusammenarbeit mit europäischen Datenschutzbehörden wird ausgebaut.
Die USA verpflichtet sich, dass die Möglichkeiten für Behörden, sich nach US-Recht Zugang zu personenbezogenen Daten zu verschaffen, auf klaren Voraussetzungen, Beschränkungen und Kontrollen basieren und dass damit ein allgemeiner Zugang verhindert wird. - Europäer haben die Möglichkeit, sich für Anfragen und Beschwerden in diesem Zusammenhang an einen noch zu bestimmenden Ombudsmann zu wenden.
Die ersten Reaktionen auf die Einigung fielen wie erwartet sehr unterschiedlich aus. Zustimmung von politischer und Verbandsseite, Skepsis und Ablehnung von Seiten derer, die den „laxen“ Umgang mit dem Thema Datenschutz in den USA schon vorher anprangerten.
So erklärte auf der einen Seite EU-Justizkommissarin Vera Jourova: „Dieses neue Abkommen schützt die Grundrechte der Europäer und bedeutet Rechtssicherheit für Unternehmen“.
Oliver Süme, eco-Vorstand für Politik &Recht, kommentiert die Einigung zwischen EU und USA: „Die Übereinkunft des sogenannten EU-US Privacy Shields zwischen EU-Kommission und den USA ist ein wichtiger Schritt für eine Nachfolgeregelung zum Safe-Harbor Abkommen. Entscheidend ist jetzt eine verbindliche und tragfähige Regelung für die Zukunft, die den Unternehmen Rechtssicherheit garantiert“. Und genau hier liegt die Crux. Damit eine Nachfolgeregelung zu Safe Harbor überhaupt in Kraft treten kann, müssen die politischen Vereinbarungen erst noch umgesetzt werden. Darüber hinaus muss die EU-Kommission förmlich feststellen, dass damit der Datenschutz in den USA gesichert ist. Dies wird laut der EU-Behörde mindestens einige Wochen dauern. Das Verhandlungsergebnis muss außerdem von Vertretern aller 29 EU-Staaten bestätigt werden, auch das Europaparlament hat Prüfrechte.
Und dann stellt sich natürlich die alles entscheidende Frage, wie der Europäische Gerichtshof mit der Vereinbarung umgeht. So bezeichnete beispielsweise Jan Philipp Albrecht, Datenschutz-Experte der Grünen im EU-Parlament, die Neuregelung als „Witz“. Die EU-Kommission verkaufe genau jene Grundrechte, die sie zu schützen vorgebe und riskiere damit, abermals von den Gerichten gemaßregelt zu werden. Albrecht erklärt: „Der Vorschlag der Kommission, eine Ombudsperson einzusetzen, die Beschwerden von EU-Bürgern gegenüber US-Geheimdiensten bewertet, ist unausgegoren und sorgt nicht für den vom EuGH eingeforderten, effektiven Rechtsschutz“. Und auch der österreichische Datenschutzaktivist Max Schrems, der mit seiner Klage gegen Facebook das Safe Harbor-Abkommen letztendlich zu Fall gebracht hatte, rechnet mit einer erneuten Klage gegen „Safe Harbor 2.0“ – wenn die endgültige Vereinbarung dann irgendwann einmal vorliegt.
Rechtssicherheit für Unternehmen: Keine Risiken eingehen
Unabhängig, zu welchem Lager – den Befürwortern oder den Gegnern der neuen Vereinbarung – man derzeit gehört, wird doch eines klar. Die derzeitige Regelung trägt noch bei weitem nicht zu der gerade für Unternehmen so wichtigen Rechtssicherheit bei, wenn es darum geht, zu klären, wo personenbezogene Daten gelagert sein dürfen. Dies gilt insbesondere für den Bereich Datensicherung und Backup – denn dabei sind in der Regel immer personenbezogene Daten (Kunden, Mitarbeiter, etc.) betroffen. Und deshalb sollte sich kein Unternehmen derzeit auf eine „mit heißer Nadel gestrickte“ Vereinbarung politischer Gremien verlassen, deren rechtliche Beurteilung noch aussteht, sondern sicherstellen, dass sich seine Daten zu jeder Zeit an einem juristisch unbedenklichen Ort befinden: Am besten hier in Deutschland.
Im Rahmen unserer Beratungsleistungen unterstützen wir Sie gerne bei der Konzeption und Umsetzung einer rechtskonformen Backup- und Disaster Recovery-Strategie.
Mit BAYERN BACKUP bieten wir darüber hinaus einen Cloud Service „Made in Germany“, bei dem alle Kundendaten in Rechenzentren in Deutschland abgespeichert sind. BAYERN BACKUP-Kunden können also sicher sein, alle gesetzlichen Anforderungen an Datenschutz und Datenhaltung im Inland zu erfüllen.