Mit der „Safe Harbor“ – Entscheidung der Europäischen Kommission im Jahr 2000 wurde es ermöglicht, personenbezogene Daten melde- und genehmigungsfrei in die USA zu transferieren. Ausgangspunkt für das Abkommen bildeten Art. 25 und 26 der EU-Datenschutzrichtlinie, nach denen ein Datentransfer in solche Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Da die USA ein solcher Drittstaat sind, jedoch der Datentransfer mit einem der wichtigsten Handelspartner nicht erliegen sollte, wurde das „Safe-Harbor“ – Modell entwickelt.
Um die Systemunterschiede zwischen den beiden Rechtsordnungen zu überbrücken, fungierte „Safe-Harbor“ bislang als relativ bequeme Grundlage für eine Datenübermittlung an US-Unternehmen. Einzige Voraussetzung war, dass sich diese Unternehmen in die Liste des US-Handelsministeriums eintragen lassen und sich damit selbst verpflichten mussten, Prinzipien einzuhalten, die einen sicheren Umgang mit Daten iS des europäischen Datenschutzniveaus garantieren sollten.
Rechtsstreit Schrems gegen irischen Datenschutzbeauftragten
Am 6. Oktober 2015 erging das Urteil des Europäischen Gerichtshofs (EuGH) im Rechtsstreit Maximilian Schrems gegen den irischen Datenschutzbeauftragten, mit welchem der Datentransfer auf Basis der Grundsätze von „Safe Harbor“ als unzulässig erklärt wurde. In diesem Urteil sprach der EuGH aus, dass „Safe-Harbor“ ab sofort unanwendbar sei, weil sie nicht als geeignet eingestuft wurde, eine Garantie für ein angemessenes Schutzniveau zu bieten. Der EuGH verlangte eine neue rechtliche Grundlage für den sicheren Transfer personenbezogener Daten in die USA.
Fogen der übergangslosen Unzulässigkeitserklärung des EuGH
Durch die übergangslose Unzulässigkeitserklärung war die Politik vor die Herausforderung gestellt, sich kurzfristig auf eine Nachfolge-Regelung zu verständigen. Am 2. Februar 2016 wurde in diesem Sinne nun bekanntgegeben, dass sich die EU-Kommission und die US-Regierung auf neue Regeln für den Datentransfer geeinigt hätten. Der finale Text zu „Safe-Harbor II“, dem sogenannten „Privacy Shield“, liegt jedoch noch nicht vor.
Auch wenn Verbesserungen zum alten Regelwerk vereinbart wurden, sind Zweifel angebracht, ob die neue Regelung alle Anforderungen aus dem EuGH-Urteil erfüllen wird:
- Immerhin sollen EU-Bürgern bessere Beschwerdemöglichkeiten zugestanden und ein Ombudsmann eingesetzt werden;
- außerdem werden höhere Anforderungen an die legale Verwendung personenbezogener Daten von EU-Bürgern durch US-Unternehmen gestellt.
- Darüber hinaus sollen die Auflagen und Beschränkungen für den Zugriff auf Daten durch US-Behörden verstärkt und von der EU-Datenschutzbehörde kontrolliert werden.
- Eine verstärkte Zusammenarbeit mit den europäischen Datenschutzbehörden soll effektiven Schutz der Rechte europäischer BürgerInnen bieten.
Dem „Privacy Shield“ stehen vor allem Datenschützer kritisch gegenüber, weil ein effektiver Schutz vor dem Zugriffsrecht der US-Behörden in Frage gestellt wird. Sie haben bereits angekündigt, auch das neue Regelwerk wieder vor den EuGH bringen zu wollen.
Die Vertreter der europäischen Datenschutzbehörden empfehlen aufgrund der weiter bestehenden Rechtsunsicherheit auch nach Inkrafttreten des „Privacy Shields“ alternative Möglichkeiten zur Herstellung eines rechtskonformen Datentransfers in die USA auszuschöpfen, insbesondere EU-Standardvertragsklauseln oder Binding Corporate Rules zu verwenden, da unklar ist, ob der „Privacy Shield“ mit dem EU-Recht vereinbar sein wird.
Katharina Raabe-Stuppnig & Franz Lippe
Mag. Katharina Raabe-Stuppnig und Mag. (FH) Mag. Franz Lippe LL.M., beide Rechtsanwälte bei Lansky, Ganzger und partner Rechtsanwälte GmbH
