Die EU-Kommision hat am 12.7.2016 ein neues Abkommen in Kraft gesetzt, das den Datenaustausch zwischen den USA und den EU Staaten regeln soll. Nach dem Art 25 Abs.1 Rl 95/46/EU ist die Übertragung personenbezogener Daten in Land, das nicht der EU angehört, nur dann zulässig, wenn die Gesetze dieses Landes ein angemessenes Datenschutzniveau aufweisen. Das ist bei den USA nicht der Fall. Ausnahmen von dieser Regel gelten dann, wenn besondere rechtliche Regelungen die Einhaltung der datenschutzrechtlichen Regelungen verbürgen.
Im Verhältnis zu den USA waren dies der Regelungen, die zwischen der EU Kommission und den USA geregelt wurden und die unter dem Terminus „Safe Harbour Frameworks“ bekannt geworden sind. Am 6.10.2015 erklärte der EuGH dieses Abkommen für ungültig, weil es die Grundrechte der EU Bürger verletzen würde.Insbesondere die Möglichkeit des anlasslosen Zugriffs auf personenbezogene Daten durch US Behörden wurde kritisiert. Anders als in anderen Fällen üblich gewährte der EuGH keine Übergangsfrist für die Geltung des Abkommens und die Vereinbarung eines neuen Abkommens, weshalb fieberhaft nach einer Lösung gesucht wurde. Die Vorläufer des US EU Privacy Shield Abkommens wurden heftig kritisiert und auch das neue Abkommen ist nicht frei von Zweifel. Es ist damit zu rechnen, daß auch das neue Abkommen durch den EuGH überprüft werden wird. Aber: AM 12.7.2016 ist das neue Abkommen in Kraft getreten.
Das neue Abkommen beruht im wesentlichen auf einem System der Selbstzertifizierung durch Unternehmen der USA, die sich zur Beachtung der Privacy principles verpflichten und einer Überprüfung durch die FTC (Federal Trade Commission) unterwerfen. Will sich Ihr Vertragspartner in den USA nicht diesem Abkommen unterwerfen, wird es bei der Möglichkeit – und auch diese ist mittlerweile rechtlich umstritten – bleiben, auf die EU Standardvertragsklauseln nach Art 26 Abs.2 RL 95/46/EG zurückzugreifen.
Die Inhaltliche Ausgestaltung des Abkommens besagt grob gesagt:
- ) US Unternehmen müssen EU Bürger eine Reihe von Hinweisen und Informationen geben
- ) Dem EU Bürger muß eine Opt-Out Möglichkeit gegeben werden, wenn sich der Zweck der Nutzung ändert oder Daten an Dritte Personen gegeben werden sollen.
- ) Wenn die Daten an Dritte weitergegeben werden sollen, muß eine Vereinbarung mit dem dritten Unternehmen geschlossen werden.
- ) Die personenbezogenen Daten müssen technisch auf angemessene Weise geschützt werden.
- ) Die Daten sind inhaltlich auf das erforderliche Minimum zu beschränken. Eine Verarbeitung zu Zwecken, die nicht den ursprünglichen Zwecken entspricht, ist in jedem Fall zu unterlassen.
- ) EU Bürgern muß die Möglichkeit des Zugang zu den von Ihnen erhobenen Daten eingeräumt werden und diese Daten müssen korrigiert oder gelöscht werden konnen, sofern diese nicht richtig oder unter Verletzung der principles bearbeitet wurden.
- ) Den betroffenen müssen Möglichkeiten zur Durchsetzung, Vollstreckung und Haftung eingeräumt werden (was nach Ansicht der EU-Kommission der Fall ist, nach Ansicht der Kritiker aber nicht)
Die Einhaltung des Abkommens soll in regelmäßigen Abständen überwacht werden und die EU Kommission hat sich die Möglichkeit vorbehalten, das Abkommen zu auszusetzen oder zu kündigen, wenn sie zu der Ansicht gelangen sollte, daß die Regelungen nicht eingehalten werden.
