Artikel-29-Datenschutzgruppe


Aus "Safe Harbor" wird "EU-US Privacy Shield" – wird jetzt alles gut?
Zu beachten ist, dass diese auf politischer Ebene getroffenen Vereinbarungen in den nächsten Wochen noch in die Form einer gültigen Vereinbarung zu überführen sind. Bis jetzt liegt nur eine Absichtserklärung vor

Autor: SKW Schwarz, Rechtsanwälte Steuerberater Wirtschaftsprüfer Partnerschaft mbB

(01.03.16) - Nachdem der EuGH im Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt hat, hatte die Artikel 29-Datenschutzgruppe den Verhandlungsparteien am 16.Oktober 2015 ein Ultimatum gesetzt, dem sich die meisten deutschen Aufsichtsbehörden angeschlossen haben. Die EU-Kommission, die EU-Regierungen und die US-Regierung sollten bis zum 31. Januar 2016 den Datenaustausch zwischen den USA und Europa rechtssicher nach den Vorgaben des EuGH-Urteils regeln. Diese Frist haben die Verhandlungsführer leicht überschritten und gestern, am 2. Februar 2016, verkündet, dass eine Einigung erzielt worden sei.

Laut der EU-Justizkommissarin Vera Jourová und dem Kommissar für den digitalen EU-Binnenmarkt Andrus Ansip wird es jedoch noch einige Wochen dauern, bis aus der Einigung eine tragfähige Rechtsgrundlage wird. Das neue Regelwerk soll unter dem etwas sperrigen Namen "EU-US Privacy Shield" bekannt werden.

Kernaussagen der Einigung
Gemäß der Mitteilung der Justizkommissarin und des Kommissars für den digitalen EU-Binnenmarkt wird das kommende Abkommen die folgenden Kernaussagen in Bezug auf den Datentransfer zwischen Europa und den USA enthalten:

>> Selbstverpflichtung: Unternehmen verpflichten sich zunächst – wie schon im Safe Harbor-Abkommen – effektive Datenschutzregelungen zu unterhalten. Diese müssen veröffentlicht werden und sind damit nach US-amerikanischen Recht rechtlich durchsetzbar. Zudem haben Betroffene die Möglichkeit sich direkt bei dem Unternehmen zu beschweren und dieses verpflichtet sich darauf hin, die Datenschutzverstöße selbst abzustellen. Die Unternehmen unterliegen einer strengen Aufsicht durch die Federal Trade Commission

>> Rechtsschutzmöglichkeiten: Es wird ein mehrstufiges Beschwerde- und Eskalationsverfahren für EU-Bürger bei Nichteinhaltung der Selbstverpflichtung durch US-Unternehmen eingeführt. Am Ende soll im Ausnahmefall auch eine gerichtliche Prüfung möglich sein.

>> Sanktionen: Verstöße gegen Vorschriften zur datenschutzkonformen Verarbeitung sollen mit Strafen für die Unternehmen belegt werden.

>> Rechte der europäischen Aufsichtsbehörden: US-amerikanische Unternehmen verpflichten sich, Entscheidungen der europäischen Aufsichtsbehörden anzuerkennen und entsprechend umzusetzen.

>> Transparenz: Die USA haben den europäischen Verantwortlichen eine Garantie gegeben, dass Geheimdienste und Gerichte strengen Voraussetzungen und einer Überwachung unterliegen, wenn sie auf Daten europäischer Bürger zugreifen. Es wird zudem keine Massen-Überwachung europäischer Bürger geben. Die Zugriffe sind auf Einzelfälle beschränkt. Für EU-Bürger gibt es bei Nichteinhaltung eine Beschwerdemöglichkeit bei einem Ombudsmann.

Jährliches Review
Europa wird zusammen mit den USA jährlich die wirksame Umsetzung der neuen Regelungen überprüfen. In Europa soll dazu ein jährlicher Bericht erscheinen.

Was geschieht jetzt?
Zu beachten ist, dass diese auf politischer Ebene getroffenen Vereinbarungen in den nächsten Wochen noch in die Form einer gültigen Vereinbarung zu überführen sind. Bis jetzt liegt nur eine Absichtserklärung vor. In welcher Form der Datentransfer mit den USA zukünftig geregelt sein wird, bleibt bislang offen. Die EU-Kommissare sprechen insofern nur von einem "new arrangement". Die USA hat sich jedoch schon jetzt verpflichtet, die Schritte für eine Umsetzung der getroffenen Vereinbarungen einzuleiten. Es bleibt abzuwarten, inwiefern sich die US-Behörden in den nächsten Wochen an die Zusagen gebunden fühlen.

Die EU-Kommission wird in den kommenden Wochen eine so genannte "Angemessenheitsentscheidung" entwerfen. Mit einer solchen Entscheidung würde die Kommission dem "EU-US Privacy Shield" ein angemessenes Datenschutzniveau bescheinigen.

Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit, Andrea Voßhoff, begrüßt die Ankündigung der Europäischen Kommission. Es sei aber noch zu prüfen, ob das neue Regelwerk tatsächlich den Vorgaben durch das EuGH-Urteil entspricht und die notwendigen Garantien für einen rechtskonformen Datentransfer in die USA erfüllt.

Im Internet finden sich bereits die ersten kritischen Stellungnahmen zu der Neuregelung. So hat sich unter anderem der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit (von 2003 bis 2013) Peter Schaar bereits kritisch in Bezug auf das neue Regelwerk geäußert. Er hält vor allem den gerichtlichen Schutz für EU-Bürger nicht für weitreichend genug.

Angesichts dieser ersten Stellungnahmen zu dem neuen Regelwerk bleibt abzuwarten, wie sich die Artikel-29-Datenschutzgruppe zu dem neuen Regelwerk positionieren wird. Diese tagt am heutigen Mittwoch und mit einer ersten Stellungnahme ist noch in dieser Woche zu rechnen. Zudem wird die Artikel-29-Datenschutzgruppe entscheiden, ob die Rechtsinstrumente der EU-Standardvertragsklauseln und der verbindlichen Unternehmensregelungen (Binding Corporate Rules) weiterhin einen Datentransfer in die USA ermöglichen. Zumindest die deutschen Datenschutzbehörden sehen dies kritisch, da die rechtsstaatliche Hintergrundsituation in den USA einen effektiven Datenschutz nicht ermöglichen würde.

Im Bereich des Datentransfers in die USA bleibt es somit spannend und Unternehmen sollten die weitere Entwicklung eng verfolgen, um rechtzeitig reagieren und ihre Datenübermittlungen anpassen zu können. Wir halten Sie selbstverständlich weiterhin informiert.
(Dr. Matthias Orthwein, SKW Schwarz, Rechtsanwälte Steuerberater Wirtschaftsprüfer Partnerschaft: ra)

SKW Schwarz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Haftungsrisiko begrenzen

    Die EU-Kommission veröffentlichte einen Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive), die den Haftungsfall im Umgang mit Künstlicher Intelligenz regelt. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Wir begrüßen, dass mit dem Entwurf zur KI-Haftungsrichtlinie erste grundsätzliche Fragen zur Haftung im Schadensfall beim Einsatz von KI geregelt werden sollen. Künstliche Intelligenz ist für die deutsche Wirtschaft eine herausragend wichtige Zukunftstechnologie."

  • Grundrechtsproblematische Massenüberwachung

    Der europäische Gerichtshof hat am 20. September 2022 ein historisches Urteil verkündet: Die aktuell in Deutschland geltende Vorratsdatenspeicherung widerspricht den Grundrechten der EU und das entsprechende deutsche Gesetz ist damit null und nichtig.

  • Neues Nachweisgesetz

    Seit dem 1. August 2022 gilt in Deutschland das neue Nachweisgesetz. Darin ist unter anderem geregelt, dass Informationen über die wesentlichen Arbeitsbedingungen für Mitarbeiter in Papierform vorliegen müssen. Dabei geht es unter anderem um Höhe und Zusammensetzung des Arbeitsentgelts, die Dauer einer eventuellen Probezeit, vereinbarte Arbeitszeit sowie (bei Schichtarbeit) Informationen zum Schichtsystem und weitere Pflichtangaben.

  • Bitkom zum Cyber Resilience Act

    Die EU hat den Cyber Resilience Act vorgestellt, mit dem die Sicherheit von IoT-Geräten verbessert werden soll. Dazu erklärt Bitkom-Präsident Achim Berg: "Europa muss die Abwehr von Cyberangriffen stärker in den Fokus rücken. Der Cyber Resilience Act kann einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten. Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden. Krisenfestigkeit war wohl selten so wichtig wie heute, der Cyber Resilience Act kommt genau zur richtigen Zeit."

  • EuGH-Urteil zur Vorratsdatenspeicherung

    Der EuGH hat einem Grundsatzurteil entscheiden, dass das deutsche Gesetz zur Vorratsdatenspeicherung (VDS) nicht mit dem EU-Recht vereinbar ist. Damit ist die VDS in Deutschland wieder einmal vom Tisch. Bereits in den vergangenen Monaten zeigte der EuGH weniger Verständnis für Politiker in den EU-Mitgliedsstaaten, die trotz eindeutiger Rechtslage und -sprechung weiter eine anlasslose Vorratsdatenspeicherung fordern.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen