EU-US Privacy Shield launched
Die EU-Kommission hat, nachdem sie am gestrigen Montag dem EU-Parlament die Garantien des EU-US Privacy Shield erläutert hat und der EU-Rat schon am 08.07.2016 dem EU-US Privacy Shield zugestimmt hatte [1], am heutigen Dienstag verkündet, dass der EU-US Privacy Shield in Zukunft als von der EU anerkannte Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA genutzt werden kann [2], wenn die genannten Voraussetzungen erfüllt sind.
Somit gibt es einen Nachfolger für die vom Europäischen Gerichtshof (EuGH) im Oktober 2015 einkassierten Safe-Harbor-Prinzipien [3].
Laut der Mitteilung der EU-Kommission hat sie mit den europäischen Datenschutzaufsichtsbehörden, dem EU-Parlament, den Mitgliedsstaaten und den USA zusammen gearbeitet, um die höchsten Standards zum Schutz der personenbezogenen Daten der Europäer zu etablieren.
“The Commission has worked together with the European data protection authorities, the European Parliament, Member States and the U.S. to put in place the highest standards to protect Europeans’ personal data.”
Die europäischen Aufsichtsbehörden konnten scheinbare ihren Ansichten bei der Zusammenarbeit nicht dauerhaft Gehör verschaffen, denn nach deren Votum am 13.04.2016 war der vorliegende Entwurf noch nicht der Weisheit letzter Schuss [4].
Unabhängig davon hat die EU-Kommission in Form einer Adäquanzentscheidung den EU-US Privacy Shield am heutigen Tag als angemessen akzeptiert. Ab dem 1. August 2016 sollen sich US-Unternehmen selbst auf die Einhaltung des EU-US Privacy Shield verpflichten können [5].
Es bleibt spannend abzuwarten, wie genau die Artikel-29-Gruppe sich nun dazu äußert [6]. Die irische Aufsichtsbehörde soll schon angekündigt haben, im laufenden Facebook-Verfahren, welches schon zur Aufhebung von Safe Harbor geführt hat, den EuGH neben den Mustervertragsklauseln auch zum aktuellen EU-US Privacy Shield anzurufen. Also stellt sich die Frage, wie lange wir nun mit dieser “neuen und besseren” Rechtsgrundlage zur Datenübermittlung werden arbeiten können.
Auf der Pressemitteilungsseite wird unter anderem auch auf die FAQ zum EU-US Privacy Shield verwiesen [7]. Diesen kann das Procedere für US-Unternehmen entnommen werden (im Wesentlichen läuft es analog zu dem Procedere nach den Safe-Harbor-Prinzipien). Alle auf der Pressemitteilungsseite angegebenen Dokumente sind auf jeden Fall eine empfehlenswerte Lektüre.
Ich bin gespannt auf die ersten Seminare und Fortbildungen, die die genaue Vorgehensweise bei der Arbeit mit dem EU-US Privacy Shield fundiert vorstellen. Ein regelmäßiger Blick auf die vom BvD angebotenen Fortbildungen [8] macht also Sinn.
Autor: Frank Spaeing
[1] https://www.bvdnet.de/verband/bvd-blog/post/2016/07/08/privacy-shield.html und http://europa.eu/rapid/press-release_STATEMENT-16-2443_de.htm [2] http://ec.europa.eu/news/2016/07/20160712_en.htm [3] https://www.bvdnet.de/verband/bvd-blog/post/2015/10/07/eu-us-data-protection-safe-harbor-not-safe-anymore.html [4] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_shield_en.pdf [5] http://europa.eu/rapid/press-release_IP-16-2461_en.htm [6] Am 1. Juli gab es schon eine Ankündigung für das weitere Vorgehen der
Artikel-29-Gruppe: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160701_wp29_press_release_eu_us_privacy_shield_en.pdf
[7] http://europa.eu/rapid/press-release_MEMO-16-2462_en.htm [8] https://www.bvdnet.de/fortbildungen.html