Nach dem Ende von Safe Harbor im vergangenen Oktober (wir berichteten) war ein Austausch personenbezogener Daten in die USA nur noch über EU-Standardvertragsklauseln oder sog. Binding Corporate Rules möglich. Nach Ansicht einiger Datenschutzaufsichtsbehörden sind sogar diese Regelungen nach dem Urteil des Europäischen Gerichtshofs unzulässig. Im vergangenen Jahr verständigten sich die EU-Datenschutzaufsichtsbehörden auf eine Übergangsfrist bis zum 31.1.2016. Ziel war es, bis zu diesem Stichtag ein neues Abkommen über Datenaustausch mit den USA zu verhandeln. Zwar verstrich der Stichtag am vergangenen Montag, aber nun haben sich gestern Abend die Verhandlungsführer auf ein neues Abkommen grundlegend geeinigt. Es wird vermutet, dass dieses Abkommen vor dem Treffen der EU-Datenschutzbeauftragten am heutigen Mittwoch in Brüssel festgezurrt wurde, um die transatlantische Datenweitergabe und damit die wirtschaftliche Existenz vieler Firmen auf beiden Seiten des Atlantiks zu sichern. Bei dem Abkommen mit dem Namen „EU-US Privacy Shield“ soll das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwachen. Darüber hinaus kann jeder EU-Bürger, der seine Datenschutzrechte durch amerikanische Firmen oder Ermittlungsbehörden in den USA verletzt sieht, sich an einen Ombudsmann, der unabhängig von allen Geheimdiensten sein soll, wenden.
Nach den Worten von EU-Justizkommissarin Vera Jourová muss das Abkommen noch von den EU-Staaten bestätigt werden. Auch das EU-Parlament habe Prüfrechte. EU und USA sollen die Umsetzung des Abkommens jährlich überprüfen. Bisher liegt jedoch nichts Schriftliches vor (vgl. hier).
Die Ankündigungen sorgten für massive Kritik durch Datenschutzexperten. Diese bemängeln, dass die schriftliche Zusicherung der USA nicht valide sei. „Ich glaube kaum, dass ein Europäer seine Grundrechte vor einem US-Gericht verteidigen kann, indem er auf einen Brief von irgendjemand hinweist.“, sagte Max Schrems. Und auch der EU-Abgeordnete Jan Philipp Albrecht bezeichnete die Einigung auf Twitter als „einen Witz“.
Peter Schaar, ehemaliger Bundesdatenschutzbeauftragter, sieht die Ankündigung des Abkommens kritisch. Seiner Meinung nach ist fraglich, ob die Anforderungen des EuGH–Urteils durch dieses Abkommen erfüllt werden (vgl. Peter Schaars Analyse auf heise online).
Um das Abkommen stichhaltig zu bewerten, bedarf es der Vorlage des Vertragstextes. Bevor dieses nicht vorliegt, ist keine abschließende juristische Bewertung möglich.
Wir halten Sie auf dem Laufenden.