Seitdem der EuGH das Safe Harbor Abkommen als ungültig erklärt hat, sind U.S. Unternehmen in eine rechtliche Grauzone geraten, die Arbeit mit personenbezogenen Daten wurde erheblich erschwert.
Seit Februar 2016 ist die neue Vereinbarung der Europäischen Kommission auf dem Markt, genannt „Privacy Shield“. Nach dieser Vereinbarung sollen Unternehmen transparenter mit Daten umgehen, Massenüberwachung soll nicht erlaubt sein und jährliche Überprüfungen sollen möglich sein. Am 13. April 2016 hat die Artikel-29-Datenschutzgruppe angemahnt, dass die Vereinbarung zu komplex gefasst sei und nicht genügend Sicherheiten seitens der U.S. Unternehmen einfordere.
Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der EU-Kommission in Fragen des Datenschutzes. Die Gruppe wurde durch Artikel 29 der Richtlinie 95/46/EG (Datenschutzrichtlinie) vom 24. Oktober 1995 eingesetzt. Die Aufgaben der Datenschutzgruppe sind in Artikel 30 der Europäischen Datenschutzrichtlinie und Artikel 15 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) festgelegt. Danach hat die Gruppe vornehmlich beratende Funktion. Prüfungsmaßstab sind dabei insbesondere die beiden genannten Datenschutzrichtlinien.
Hauptkritikpunkt der Artikel-29-Datenschutzgruppe ist, dass eine massive und unterschiedslose Überwachung von Personen in einer demokratischen Gesellschaft niemals verhältnismäßig und unbedingt notwendig sein kann und einem grundrechtlich garantierten Schutz auf Privatssphäre zuwiderlaufe. Es bestehen auch Bedenken daran, dass der Einfluss und die Unabhängigkeit des Ombudsmannes nicht klar definiert und garantiert ist. Dieser soll gewährleisten, dass EU-Bürger, im Falle eines Datenschutzverstoßes, Wiedergutmachung verlangen können. Es könnte also dazu kommen, dass europäische und amerikanische Behörden noch einmal nachverhandeln müssen, Teile des „Privacy Shields“ klären und straffen müssen.
Die Ansicht der Artikel-29-Datenschutzgruppe ist nicht bindend, aber dennoch von großem Gewicht, da sie die einhellige Meinung der europäischen Datenschützer widerspiegelt. Eine Verzögerung durch Nachverhandlungen und damit verbundene unnötige Belastungen des Marktes ist der Teil der Befürchtungen , wie man aus Industriekreisen hört. Bis heute können die Standardvertragsklauseln für die Datenübermittlung in die USA genutzt werden. Diese müssen jedoch im Lichte der EuGH-Safe-Harbor Entscheidung „lebhaft“ angewendet werden und, u.U., auch einer Überprüfung durch Aufsichtsbehörden standhalten. Zudem können auch auf der Grundlage der DSGV nationale Aufsichtsbehörden Muster zum Datentransfer herausgeben. Nach Ankündigung der EU-Kommission soll die Empfehlung der Artikel-29-Datenschutzgruppe in ihre endgültige Entscheidung aufgenommen werden. Personenbezogene Daten können also frühestens im Sommer 2016 auf der Grundlage des Privacy Shields in die USA übermittelt werden und zwar auch nur, nachdem die EU-Kommission eine Angemessenheitsentscheidung diesbezüglich getroffen haben wird.
In der Empfehlung der Artikel-29-Datenschutzgruppe unberücksichtigt bleibt die Datenübermittlung in die USA auf der Grundlage von Standardvertragsklauseln und verbindlichen Unternehmensregelungen.
Ihr AGOR Team
gez. Tobias Hahn