30.07.2016 |

Am 12.7.2016 ist das Nachfolge-Abkommen des 2015 gekippten Safe Harbor Abkommens nun endlich in Kraft getreten. Das neue Abkommen zwischen der Europäischen Union und den USA regelt die Übertragung personenbezogener Daten an amerikanische Unternehmen und deren Schutz vor unberechtigtem Zugriff, auch durch US-Behörden.

Es handelt sich dabei nicht um einen Vertrag, sondern um Zusicherungen der USA („The EU-U.S. Privacy Shield Framework was designed by the U.S. Department of Commerce…“) und einen Beschluss der EU-Kommission, diesen Zusagen zu vertrauen.

 

Anmeldung für US-Unternehmen

Seit 1. August können sich nun amerikanischen Unternehmen für das Abkommen hier anmelden und deutsche Unternehmen können sich bei der Übertragung an die angemeldeten US-Unternehmen darauf berufen. Mit dem Abkommen hat Europa für den Datenaustausch jetzt „einen soliden Rahmen, der sicherstellt, dass dieser Datenverkehr unter möglichst guten und sicheren Bedingungen stattfindet“, so Andrus Ansip, Vizepräsident der EU-Kommission.

Das mit dem „soliden Rahmen“ ist allerdings so eine Sache. Das Privacy Shield ist ähnlich wie das Safe Habor Abkommen eine Abmachung auf Vertrauensbasis. Ob sie den Auflagen des Privacy Shield genügen wollen und sich in eine Liste für das Privacy Shield eintragen, können US-Unternehmen selbst entscheiden. Nach meinen Erfahrungen findet mit derlei „Selbst- Zertifizierungen“ keine wirkliche Kontrolle der Schutzmaßnahmen statt. Vertrauen statt harter Kontrollen mit ernsthaften Strafen (bis zu 40.000 US$ pro Verstoß).

 

Kontrollen unklar

Geplant ist zwar jährlich eine gemeinsame Überprüfung der „Funktionsweise von Privacy Shield“. Wie diese Kontrollen aussehen werden, ist allerdings noch offen ebenso wie eventuelle Konsequenzen bei Verstößen. Das neue Privacy Shield sieht zwar vor, dass sich EU-Bürger, die Ihre Rechte verletzt sehen, direkt beim jeweiligen US-Unternehmen beschweren oder kostenfrei ein Verfahren zur alternativen Streitbeilegung in Anspruch nehmen können.

Und das mag bei Facebook und Co. durchaus möglich sein. Aber wie sieht es bei deutschen Unternehmen aus, die im Rahmen einer Auftragsdatenverarbeitung ihre Daten in die USA oder an amerikanische Unternehmen übertragen haben? Es wird interessant werden, zu beobachten, wie sich europäische Datenschutzbehörden verhalten, wenn ihnen Beschwerden vorgelegt werden.

Aus meiner Sicht ist das Privacy Shield nur alter Wein in neuen Schläuchen – und der wird damit nicht besser.

Abzuwarten bleibt auch, wie sich das EuGH zum Privacy Shield äußert und ob es das neue Abkommen – ähnlich wie das Safe Harbor Abkommen im Oktober 2015 – mit einer vergleichbaren Begründung (nicht nachprüfbare Angemessenheit) wieder kassiert.

 


Ihr Roland von Gehlen