von Hans-Günter Börgmann und Manuela Sube
Safe Harbor war die rechtliche Grundlage, was den Datenschutz betrifft, zwischen dem europäischen Raum und den USA. Mit der Aufhebung des Abkommens durch den Europäischen Gerichtshofs war in den Märkten eine grosse Verunsicherung zu spüren. Seit Frühjahr 2016 gibt es nun ein neues Abkommen. Privacy Shield (EU-U.S. Privacy Shield Framework Principles) heisst die neue Grundlage. Wie verlässlich ist sie, und hat das Abkommen die Verunsicherung minimiert?
Die Verunsicherung hielt sich nunmehr fast ein Jahr in Grenzen. Viele Kunden haben sich der EU-Standardvertragsklauseln bedient, um ihren Datenexport in die USA auf rechtlich sichere Füsse zu stellen. Allerdings ist aufgrund des Kompromisscharakters, den das Privacy Shield darstellt, davon auszugehen, dass Datenschutzhardliner auch die neue EU-US-Vereinbarung gerichtlich prüfen lassen werden. Wir sollten dabei nicht vergessen, dass in einer globalen Welt mit vielen unterschiedlichen rechtlichen und politischen Auffassungen auch kleine Schritte in die richtige Richtung wichtige Schritte sind. Deutschland und Europa brauchen Rechtssicherheit für den transatlantischen Datenverkehr, und Europa darf nicht in die Datenisolation verfallen.
Es gilt allerdings hervorzuheben, dass das EU-US-Privacy Shield auch einige Verbesserungen im Vergleich zu Safe Harbor hervorgebracht hat. Das ist unter anderem die Zusicherung der US-Regierung gegenüber der EU-Kommission, die massenhafte Datenspeicherung von Daten von EU-Bürgern zu beschränken.
Zudem dürfen die Daten nur dann verwendet werden, wenn die nationale Sicherheit der USA, im Hinblick auf Spionage oder Terrorismus, gefährdet ist. Sollte es jedoch so sein, dass sich doch eine betroffene Person zu Unrecht überwacht fühlt, gibt es ein Beschwerderecht, welches in Anspruch genommen werden kann. Der Betroffene kann sich bei einem Ombudsmann des amerikanischen Aussenministeriums beschweren. Dieser wird dann entsprechend prüfen, ob die Beschwerde angemessen ist oder nicht. Weiterhin ist es so, dass sich US-Unternehmen verpflichten, wenn sie sich nach dem EU-US-Privacy Shield zertifizieren lassen, Daten von EU-Bürgern nur so lange zu speichern, wie sie für den Zweck der Vertragserfüllung oder Speicherung notwendig sind.
Demnach wurde hier also die Zweckbindung, die wir aus dem europäischen Datenschutzrecht kennen mit integriert. Nationale Datenschutzbehörden waren in der Vergangenheit durch Safe Harbor stark eingeschränkt worden. Das heisst konkret, dass diese gar kein Mitspracherecht bei der Ausgestaltung hatten. Dies hat sich bei Privacy Shield ebenfalls verbessert.
Und zu guter Letzt ist es so, dass die Privacy-Shield-Vereinbarung einem jährlichen, gemeinsamen Review unterliegt. Das bedeutet, dass das Abkommen einmal im Jahr bezüglich der Regelungen zu dem Stand der Technik, auf rechtliche Veränderungen und geänderten Datenverarbeitungspraktiken hin überprüft werden soll.
Weitere Informationen:
www.ironmountain.ch
www.ironmountain.de