Viele Unternehmen diesseits und jenseits des Atlantik warten auf die Einführung des EU-US-Privacy Shields, dass amerikanischen Unternehmen unter bestimmten Voraussetzungen ein dem europäischen adäquaten Datenschutzniveau zusprechen könnte und somit Datentransfers legalisieren würde.
Der „Artikel-31“- Ausschuss, der mit Vertretern der Mitgliedsstaaten besetzt ist, konnte bisher keine Einigung zum Privacy Shield finden. Eine Entscheidung wurde eigentlich für den 19.05.2016 erwartet. Derzeitige wird mit einer Entscheidung bis Anfang Juni gerechnet.
Die starke Kritik (wir berichteten über den vzbv und die Art. 29 Gruppe) am Abkommen mit den USA scheint es dem Ausschuss schwer zu machen, dem Entwurf der Kommission zuzustimmen. Sollte das Gremium den Vorschlag nicht mittragen, müsste die Kommission nachbessern oder Einspruch gegen das Votum erheben (Art. 31 i.V.m. Art. 13, 5 und 6 der VO 182/2011).
Wer Daten in die USA oder andere unsicheren Drittstaaten übermittelt, bewegt sich daher immer noch auf datenschutzrechtlich unsicherem Boden.
Der GDD-Arbeitskreis „Datenschutz International“ hat eine Zusammenfassung der gesamten Diskussion angefertigt (Urteil des Europäischen Gerichtshofs, EU-US Privacy Shield, EU-Standardvertragsklauseln/Binding Corporate Rules, Stellungnahme der Artikel-29-Datenschutzgruppe, Weitere Maßnahmen zur Stärkung des Datenschutzes).
Bis das Privacy Shield in Kraft tritt, bleibt den Unternehmen nur, die Datenübermittlung durch EU-Standardverträge abzusichern. Einige deutsche Aufsichtsbehörden sind, wie berichtet, bereits dazu übergegangen Bußgeldverfahren gegen Unternehmen, die Datenübermittlungen ohne gültige EU-Standardverträge durchführen, einzuleiten.
Ob die EU-Standardverträge juristisch halten, wird sich wahrscheinlich bald beweisen müssen, da die irische Datenschutzbehörde wohl die Frage dem Europäischen Gerichtshof vorlegen will.