18.05.2016

Europäischen und transatlantischen Datenschutz zukunftsfähig gestalten

Die europäische Datenschutzlandschaft befindet sich im Umbruch. Nach vierjährigen Verhandlungen hat das europäische Gesetzgebungsverfahren zur Neuregelung des Datenschutzes seinen Abschluss gefunden. Gleichzeitig wird mit dem Privacy Shield die Datenübermittlung in die USA teilweise neu aufgestellt: Mit strengeren Auflagen für Unternehmen und einer konsequenten Durchsetzung der Regelungen mit strengeren Aufsichtsmechanismen über das System der Selbstzertifizierung und Sanktionen soll den Vorgaben des Europäischen Gerichtshofs (EuGH) begegnet werden. Dazu kommen klarere Schutzvorkehrungen und Transparenzpflichten bei behördlichem Datenzugriff und ein stärkerer Rechtsschutz für Bürger sowie eine gemeinsame jährliche Überprüfung der Funktionsweise des Datenschutzschilds.
Die EU-Kommission tritt mit dem EU-US-Privacy Shield den Bedenken des EuGH an der Datenübermittlung in die USA entgegen und zeigt einen rechtssicheren Weg für eine solche Übermittlung auf. Enthalten sind unter anderem die von den Unternehmen einzuhaltenden Datenschutzgrundsätze sowie schriftliche (im US-Bundesregister zu veröffentlichende) Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, darunter Garantien und Beschränkungen für den Datenzugriff durch Behörden. Mit dem Privacy Shield reagieren die Institutionen auf ein Urteil des EuGH aus dem letzten Jahr, in dem das damalige „Safe Harbor“-Abkommen zwischen der EU und der USA für ungültig erklärt worden war.

Mitte April 2016 hat die sog. Artikel-29-Gruppe ihre Bewertung zu den mit dem Privacy Shield vorgeschlagenen Regelungen abgegeben. Die Artikel-29-Gruppe ist das unabhängige Beratungsgremium der EU-Kommission in Fragen des Datenschutzes und setzt sich aus dem Europäischen und den Datenschutzbeauftragten der Mitgliedstaaten zusammen. In ihrer Stellungnahme begrüßte die Gruppe ausdrücklich die erheblichen Verbesserungen, die die Regelungen des Privacy Shield gegenüber der Safe Harbor-Entscheidung vorsehen.

Dennoch bestehe Änderungsbedarf hinsichtlich der vorgeschlagenen Regelungen. Wesentliche Prinzipien des Datenschutzes seien im Privacy Shield nicht verankert. So sei das Prinzip der Datenlöschung nicht ausdrücklich genannt. Auch sei der Rechtsschutz gegen automatisierte Einzelentscheidungen basierend nur auf automatischen Prozessen nicht geregelt. Zwar begrüßt die Artikel-29-Datenschutzgruppe die durch das Privacy Shield erreichte höhere Transparenz im Hinblick auf den Zugriff auf Daten durch US-amerikanische Behörden. Gleichzeitig merkt sie an, dass die massenhafte Sammlung von personenbezogenen Daten auch in Zukunft nicht ausgeschlossen werden könnte. Die EU-Kommission hat angekündigt, dass sie daran arbeiten wolle, die Empfehlungen der Artikel-29-Datenschutzgruppe in ihre endgültige Entscheidung einzuschließen. Dabei ist das Votum der Artikel-29-Gruppe nicht bindend.

Das Privacy Shield soll bis Sommer 2016 in Kraft treten und ein angemessenes Datenschutzniveau in den USA sicherstellen. Nachdem die EU-Kommission eine Angemessenheitsentscheidung hierüber getroffen haben wird, können personenbezogene Daten auch auf dieser Grundlage in die USA übermittelt werden. Keine Aussage trifft die Artikel-29-Datenschutzgruppe im Hinblick auf die Datenübermittlung in die USA auf der Grundlage von Standardvertragsklauseln und verbindlichen Unternehmensregelungen.

Eine schnelle Einigung zu dem neuen Privacy Shield wäre wünschenswert, da die Rechtsunsicherheit für die Unternehmen, die Daten in die USA transferieren, derzeit sehr groß ist. BDI und BDA verfolgen die Entwicklungen weiter aktiv mit.

Darüber hinaus hat das Plenum des Europäischen Parlaments die Datenschutzgrundverordnung im April angenommen. Die Annahme im Rat erfolgte im schriftlichen Verfahren auf der Grundlage der Einigung vom Dezember 2015.

Damit ist das über vier Jahre andauernde Gesetzgebungsverfahren zur Schaffung neuer Regelungen für den Schutz personenbezogener Daten in der EU abgeschlossen. Die Datenschutzgrundverordnung wird nun im Amtsblatt der Europäischen Union veröffentlicht. Sie wird am 20. Tag nach der Veröffentlichung im Amtsblatt in Kraft treten. Gelten wird die Verordnung allerdings erst im Jahr 2018 nach einer zweijährigen Übergangsfrist ab dem Tag ihres Inkrafttretens.


Informationen zum Text
erstellt von: Carolina Müller (BDI), Julia Hentsch (BDI) und Brigitte De Vita (BDA)

Ansprechpartner
Brigitte De Vita
Senior Adviser
+3227921059
b.de_vita@arbeitgeber.de