Seit dem 1. August 2016 steht mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sogenannten EU-US Privacy Shield eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung.
Der Datenschutzschild soll rechtliche Klarheit für Unternehmen schaffen, die auf die Übermittlung personenbezogener Daten über den Atlantik hinweg angewiesen sind, und eine Grundlage für Übermittlungen an solche US-Unternehmen bieten, die eine gültige Privacy-Shield-Zertifizierung besitzen.
Das US-Handelsministerium führt die offizielle Liste der US-Unternehmen, die eine solche Zertifizierung erworben haben. Das datenexportierende (europäische) Unternehmen muss anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasst, die übermittelt werden sollen (Beschäftigtendaten = „HR“ oder sonstige Daten, zum Beispiel (personenbezogene) Kundendaten = „Non HR“).
Die Artikel-29-Gruppe der Datenschutzbehörden der EU-Mitgliedstaaten hatte 2016 Fragen und Antworten (FAQs) zum EU-US Privacy Shield für EU-Unternehmen veröffentlicht, die personenbezogene Daten auf der Grundlage des Privacy Shields an US-Unternehmen übermitteln wollen. Eine vorläufige deutsche (Arbeits-)Übersetzung dieser FAQ findet man auf der Webpräsenz des BfDI.
Das Abkommen ist bereits zweimal seitens der EU-Kommission überprüft worden. Eine jährliche Überprüfung war von vornherein vorgesehen, um festzustellen, ob das Framework weiterhin ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Bei beiden Terminen wurden weitere Verbesserungen gefordert, die vonseiten der USA inzwischen auch durchgeführt worden sind. Am 12. September 2019 leitete die für Justiz, Verbraucher und Gleichstellung zuständige EU-Kommissarin Věra Jourová zusammen mit dem amerikanischen Handelsminister Wilbur Ross die dritte jährliche Überprüfung des EU-US-Datenschutzschilds ein. Auch diese Prüfung hat das System bestanden, wie die EU-Kommission mitteilt.
Anders als in dem 2015 entschiedenen Verfahren („Schrems I“), das ursprünglich nicht die Nichtigkeit des Angemessenheitsbeschlusses zu Safe Harbor zum Gegenstand hatte, ist die Klage der französischen Nichtregierungsorganisation La Quadrature du Net (Rechtssache T-738/16) ausdrücklich auf Feststellung derselben angelegt.
Ein Wegfall des EU-US Privacy Shields hätte erhebliche Auswirkungen auf die DSGVO-konforme Auftragsverarbeitung und die gesamte digitale Wirtschaft. Übermittlungen personenbezogener Daten an Unternehmen außerhalb der EU bedürfen neben einer geeigneten Rechtsgrundlage auch einer Absicherung zur Gewährleistung eines angemessenen Datenschutzniveaus.
Neben dem EU-US Privacy Shield existieren noch andere Grundlagen für die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA, darunter die Entscheidungen der Europäischen Kommission zu Standardvertragsklauseln. Jedoch sind auch diese derzeit Gegenstand gerichtlicher Überprüfung im so genannten Schrems-II-Verfahren des EuGH (Rechtssache C-311/18). Dabei geht es um nichts weniger als die Frage, welche Bindungswirkung und welche angemessenen Garantien solche Maßnahmen bieten. Eine Entscheidung in dieser Sache wird daher auch Auswirkungen auf alle anderen Mechanismen haben, die derzeit für Unternehmen gangbar sind. Diese sollten die Entwicklung der genannten Verfahren in den kommenden Wochen und Monaten daher aufmerksam verfolgen.
Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München