Nach Safe Harbor: Europas Datenschützer müssen Privacy Shield noch prüfen
Seit dem EuGH-Urteil gegen Safe Harbor von vor vier Monaten gibt es keine wirkliche Rechtssicherheit für Datentransfers in die USA. Europas Datenschützer wollen den Safe-Harbor-Nachfolger Privacy Shield zwar prüfen, noch haben sie aber keine Unterlagen.
Europas Datenschützer haben zumindest jene Frist verlängert, in der es Unternehmen erlaubt ist, nach dem Ende des Safe-Harbor-Abkommens unter alternativen Regeln weiterhin personenbezogene Daten in die USA zu schicken. Wer dagegen auf Safe Harbor selbst setzt, sei vor Untersuchungen nationaler Datenschützer der EU nicht mehr sicher. Das erklärte deren Vorsitzende Isabelle Falque-Pierrotin am heutigen Mittwoch. Ob das von der EU-Kommission als Nachfolger für Safe Harbor vorgestellte "EU-US-Privacy-Shield" die EU-Anforderungen an den Datenschutz erfüllt, könne sie noch nicht sagen. Noch gebe es ja keinen Text, der prüfbar sei. Vor der Vorstellung des Privacy Shields habe sie jedenfalls immer noch Bedenken gehabt, dass die US-Gesetze – inklusive der angekündigten – ausreichenden Datenschutz gewährleisten.
Safe Harbor endgültig am Ende
Nachdem der Europäische Gerichtshof Datentransfers in die USA nach den Regeln von Safe Harbor für rechtswidrig erklärt hatte, mussten Unternehmen, die die Praxis nicht aufgeben wollten, auf andere juristische Grundlagen ausweichen. Das waren vor allem die sogenannten Standardvertragsklauseln und Binding Corporate Rules. Unklar war jedoch, ob das überraschend deutliche Urteil gegen Safe Harbor die nicht gleich mit gekippt hatte. Um der zuständigen EU-Kommission und den USA die Möglichkeit zu geben, einen Nachfolger für Safe Harbor auszuhandeln, hatten sich Europas Datenschützer geeinigt, diese vorerst zu akzeptieren und außerdem nicht gegen Unternehmen vorzugehen, die weiter auf Safe Harbor setzten.
Diese Schonfrist für Unternehmen, die weiterhin auf Safe Harbor gesetzt hatten, sei nun vorbei, erklärte Falque-Pierrotin. Das Abkommen sei für rechtswidrig erklärt worden, nationale Datenschützer müssten spätestens dann gegen Unternehmen vorgehen, die das Abkommen weiter anwendeten, wenn ihnen entsprechende Beschwerden vorliegen. Wie es mit den Standardvertragsklauseln und den Binding Corporate Rules weitergehe, könne man dagegen erst sagen, wenn die rechtlichen Grundlagen für Privacy Shield klar seien. Die USA müssten ihren Geheimdiensten in Bezug auf die personenbezogenen Daten Grenzen aufzeigen, damit diese Alternativen abschließend akzeptiert würden.
"Wir wissen nicht wirklich viel"
Immer wieder musste Falque-Pierrotin bei ihren Erläuterungen einräumen, dass die europäischen Datenschützer über den Safe-Harbor-Nachfolger "EU-US-Privacy-Shield" auch nicht wirklich mehr wissen als die Öffentlichkeit: Sie seien in die Verhandlungen nicht einbezogen und erst in letzter Minute überhaupt einmal konsultiert worden. Die Kommission wolle nun innerhalb von drei Wochen die fertigen Dokumente vorlegen, anhand derer Privacy Shield erst überprüft werden könne. Das dürfte bis Mitte April dauern, zerstreute Falque-Pierrotin vermutlich die Hoffnung so einiger Unternehmen auf rasche Rechtssicherheit. (mho)