Der "EU-US Privacy Shield" soll das Safe-Harbor-Konzept ersetzen. Schon bevor die politische Einigung rechtlich konkret wird, wird sie massiv kritisiert. Michael Kamps und Reemt Matthiesen über die Eckpunkte.
Fast glaubte man, zwischen den 110 Zeichen der Twitter-Nachricht von Vera Jourova die erhebliche Erleichterung zu spüren: Am späten Dienstagnachmittag konnte die Justizkommissarin der Welt mitteilen, dass sich die Europäische Kommission und das US-Handelsministerium über neue Rahmenbedingungen für transatlantische Datenübermittlungen geeinigt hätten – nach seit längerem laufenden Verhandlungen.
Die hatten im Oktober 2015 eine gewisse Dringlichkeit bekommen, nachdem der Europäische Gerichtshof (EuGH) das mehr als 15 Jahre alte Safe Harbor-Konzept für unwirksam erklärt hatte. Unter Safe Harbor konnten personenbezogene Daten aus der EU in die USA übermittelt werden, wenn die dortigen Empfänger erklärten, bestimmte Voraussetzungen zur Einhaltung eines angemessenen Datenschutzniveaus zu erfüllen.
Der EuGH hatte seine Entscheidung insbesondere damit begründet, dass US-Empfänger im Zweifel verpflichtet seien, Ersuchen von US-Behörden zum Zugriff auf personenbezogene Daten nachzukommen. Zudem seien die Befugnisse der US-Behörden im Hinblick auf die anlasslose Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.
Eine politische Einigung innerhalb der Frist der Aufsichtsbehörden
Unmittelbar nach der EuGH-Entscheidung hatten die europäischen Aufsichtsbehörden für den Datenschutz angekündigt, nicht nur gegen US-Datentransfers auf Grundlage des unwirksamen Safe Harbor-Konzepts vorgehen zu wollen, sondern auch die alternativen Übermittlungsinstrumente (die sog. EU-Standardvertragsklauseln und verbindliche Unternehmensregeln, "Binding Corporate Rules") auf den Prüfstand zu stellen.
Die Aufsichtsbehörden stützten sich dabei auf die vom EuGH bestätigten Prüfungsbefugnisse auch gegenüber Feststellungen der Europäischen Kommission zum angemessenen Datenschutzniveau. Dass die Aufsichtsbehörden ihre in den vergangenen Jahren ohnehin gestärkte Unabhängigkeit ernst nehmen, wurde deutlich, als sie der Europäischen Kommission eine Frist bis Ende Januar 2016 setzten, um mit den USA eine Nachfolgeregelung für Safe Harbor zu vereinbaren.
Die nun verkündete "politische Einigung" diente deshalb auch dazu, diese Frist einzuhalten. Eine detaillierte Prüfung des neuen EU-US Privacy Shield ist freilich noch nicht möglich. Dazu bedürfte es konkreter Formulierungen für die neuen Regelungen.
Die Aufsichtsbehörden begrüßten deshalb am Ende ihrer parallel zu den Verhandlungen terminierten Diskussion in der sogenannten Artikel-29-Arbeitsgruppe die politische Einigung, betonten aber zugleich ihre nach wie vor erheblichen Vorbehalte.
Sie verbanden ihre Mitteilung mit einer neuen Fristsetzung, wonach die EU-Kommission sämtliche Dokumente zu der neuen Vereinbarung bis Ende Februar 2016 vorzulegen habe. Danach werde die Arbeitsgruppe alle zur Verfügung stehenden Instrumente für US-Datenübermittlungen abschließend prüfen – neben dem neuen Datenschutzschild also auch die EU-Standardvertragsklauseln und verbindliche Unternehmensregeln. In der Zwischenzeit könnten Unternehmen in der EU bestehende Instrumente mit Ausnahme von Safe Harbor weiter nutzen.
Politische Einigung über Safe-Harbor-Ersatz: . In: Legal Tribune Online, 05.02.2016 , https://www.lto.de/persistent/a_id/18388 (abgerufen am: 19.04.2026 )
Infos zum Zitiervorschlag
