Land in Sicht? – Update zur rechtmäßigen Datenverarbeitung in den USA
Im Anschluss an die Unwirksamerklärung der Safe Harbor Regelung durch den EuGH im Oktober 2015 (vgl. unsere Sonderausgabe des B&B Bulletin, Oktober 2015) hat die Kommission am 2. Februar 2016 den Abschluss eines Nachfolgeabkommens, nämlich des „EU-US Datenschutzschilds“, bekannt gegeben. Dieses soll nach Ansicht der Kommission sämtlichen betroffenen Unternehmen, die aus der Europäischen Union personenbezogene Daten an ein Unternehmen oder einen Server mit Sitz in den USA übermitteln (z.B. bei Nutzung US-amerikanischer Cloudservices und sonstiger IT-bezogener Dienstleistungen), eine neue rechtssichere Grundlage für ihr Handeln bieten.
Nationale Regelungen auf Grundlage der ADR-Richtlinie
Die ADR-Richtlinie sollte von der Bundesregierung bis zum 09.07.2015 in deutsches Recht umgesetzt werden. Das betreffende Verbraucherstreitbeilegungsgesetz (VSBG) befindet sich aktuell im Gesetzgebungsverfahren, ist allerdings erheblich im Verzug. Voraussichtlich werden die Regelungen des VSBG Anfang 2017 in Kraft treten.
Laut ADR-Richtlinie haben die Mitgliedstaaten dafür zu sorgen, dass für inländische und grenzübergreifende Streitigkeiten zwischen in der EU wohnhaften Verbrauchern und in der EU niedergelassenen Unternehmen aus Kauf- und Dienstleistungsverträgen außergerichtliche Schlichtungsstellen geschaffen werden. Für Streitigkeiten zwischen Unternehmern ist das Streitbeilegungsverfahren nicht vorgesehen, da zwingend ein Verbraucher beteiligt sein muss. Die Richtlinie normiert die Mindestanforderungen für das Streitbeilegungsverfahren sowie für die Organisation und Ausstattung der unabhängigen und unparteiischen Schlichtungsstellen fest. Das Schlichtungsverfahren soll darüber hinaus transpar
Status Quo für Datentransfers in die USA
Mit Urteil vom 6. Oktober 2015 (Az.: C-362/14) hatte der Gerichtshofs der Europäischen Union (EuGH) das bisherige Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA (das „Safe Harbor Abkommen“) für unwirksam erklärt. Die Artikel 29 Datenschutzgruppe, deren Auffassung für die praktische Durchsetzung europäischen Datenschutzrechts eine entscheidende Rolle zukommt, setzte der Kommission und den betroffenen Unternehmen daraufhin eine „Schonfrist“ bis Ende Januar 2016, in welcher die Kommission zu einer bilateralen Lösung mit den USA kommen und die betroffenen Unternehmen ihre Datenschutzpraxis überarbeiten sollten. Sowohl die Artikel 29 Datenschutzgruppe, als auch die Kommission gehen davon aus, dass ein Datentransfer in die USA weiterhin, insbesondere mit ausdrücklicher Einwilligung der Betroffenen oder unter Nutzung der EU-Standardvertragsklauseln, zulässig sein sollte, obwohl in Bezug auf die EU-Standardvertragsklauseln teilweise Bedenken bestehen. Über weitere potentielle Möglichkeiten für einen rechtskonformen Datentransfer in die USA hatten wir in unserer Sonderausgabe zum B&B Bulletin berichtet.
Neues EU-US Datenschutzschild
Nur kurz nach Ablauf der gesetzten Schonfrist verkündete die Kommission am 2. Februar 2016 per Pressemitteilung nun den Abschluss eines neuen Datenschutzabkommens mit den USA, das EU-US Datenschutzschild. Das EU-US Datenschutzschild soll nach Aussage der Kommission die Antwort auf die Forderungen darstellen, die der EuGH in seinem Urteil vom 6. Oktober 2015 gestellt hatte, indem es strengere Auflagen an die datenverarbeitenden US Unternehmen stellt, höhere Transparenzauflagen für den Zugriff von US Behörden auf die Daten von EU-Bürgern vorsieht und wirksame Rechtsbehelfe für EU Bürger in den USA enthält. Nähere Informationen zu dem neuen Abkommen mit den USA sind bislang nicht bekannt. Die Kommission wird jedoch in den nächsten drei Monaten einen Kommissionsbeschluss entwerfen, der die näheren Vorgaben des EU-US Datenschutzschilds regeln wird. Gleichzeitig wird dieser Beschluss die Vergleichbarkeit des Datenschutzniveaus auf Grundlage der Vorgaben des EU-US Datenschutzschilds mit den europäischen Datenschutzregelungen feststellen. Der EuGH hat in seinem Urteil vom 6. Oktober 2015 allerdings ausdrücklich festgestellt, dass ein Urteil über die Rechtmäßigkeit der Kommissionsentscheidung zur Feststellung eines vergleichbaren Datenschutzniveaus allein dem Gerichtshof und nicht den nationalen Datenschutzbehörden oder Gerichten obliegt. Unabhängig von der Frage, ob die neue Vereinbarung tatsächlich den Vorgaben des EuGH entspricht, wird ein solcher Kommissionsbeschluss aber, jedenfalls bis zu einem erneuten sich hiermit befassenden Urteil des EuGH, das frühestens in einigen Jahren zu erwarten wäre, eine rechtssichere Grundlage für den Datentransfer in die USA darstellen.
Ausblick
Mit Spannung darf also abgewartet werden, welche konkreten Vorgaben der Beschluss der Kommission zum EU-US Datenschutzschild enthalten wird. Da davon auszugehen ist, dass er jedenfalls auf absehbare Zeit eine rechtsichere Grundlage für den rechtlich problematischen, jedoch faktisch häufig unumgänglichen Datentransfer in die USA bildet, sollten sich Unternehmen mit Rechtsbeziehungen in die USA hiermit befassen. Es ist zu erwarten, dass sich eine Zusammenarbeit auf Grundlage des EU-US Datenschutzschilds in vielen Fällen als effektiver und praktikabler erweisen wird, als die momentan bestehenden Alternativen.