Einerseits könnten weitere Klagen von Datenschützern eintreffen, andererseits unterliegt das neue Privacy Shield Abkommen der Prüfung durch die EU-Staaten und des EU-Parlaments.
Was bisher geschah
Der europäische Gerichtshof (EuGH) hatte in seinem Urteil vom 6. Oktober 2015 der Klage eines österreichischen Datenschützers stattgegeben. Die Richter kamen zum Schluss, dass das bisher geltende Safe-Harbor-Abkommen keinen ausreichenden Datenschutz biete. Das Abkommen, das den Austausch personenbezogener Daten zwischen der EU und den USA legitimierte, verlor damit seine Gültigkeit. Der EuGH stützt seinen Entscheid auf die Tatsache, dass die USA bei ihren äusserst umfangreichen staatlichen Überwachungen auch Daten von EU-Bürgern scannten und diese keine Möglichkeit hätten, gegen die behördlichen Datenzugriffe vorzugehen. Ende Januar 2016 lief die gesetzte Übergangsfrist für die Neuverhandlung des Abkommens aus. Erst am 2. Februar 2016 präsentierten die EU-Verhandlungsführer Resultate. Sie kündigten die Ausarbeitung eines neuen Abkommens unter dem Namen Privacy Shield an. Dieses soll in etwa drei Monaten vorliegen.
Das Privacy Shield
Einige Eckpunkte des neuen Abkommens sind bereits kommuniziert worden. Folgende Punkte sollen geregelt werden:
• Zukünftig wird das US-Handelsministerium US-Firmen kontrollieren, die Daten aus Europa bearbeiten.
• Die US-Unternehmen müssen neue verbindliche Grundsätze einhalten und können bei Fehlverhalten sanktioniert werden.
• Ein Ombudsmann soll als Beschwerdestelle bei Verletzungen der Datenzugriffe durch die Geheimdienste dienen.
• Es soll ein Streitbeilegungsverfahren eingeführt werden, das EU-Bürgern erlaubt, eine missbräuchliche Datenbearbeitung zu stoppen.
• Die Einhaltung der Vereinbarung soll jährlich durch die EU und USA überprüft werden.
Weitergehende Zugeständnisse der USA, wie beispielsweise die Daten von EU-Bürgern nicht mehr in ihre flächendeckende Überwachung einzubeziehen, wurden offenbar nicht gemacht. Aus Datenschützer-Kreisen wird die neue Vereinbarung deshalb auch eher als Behelfslösung denn als griffiges Abkommen zur Durchsetzung der Privatsphäre gewertet.
Wird das neue Privacy Shield Abkommen in etwa drei Monaten vorliegen, so bedarf es der Genehmigung durch die EU-Staaten sowie des EU-Parlaments. Zudem ist eine erneute Beurteilung durch den europäischen Gerichtshof durchaus möglich. Und dessen kritische Haltung gegenüber den Datenschutzbemühungen der USA ist bereits bekannt.
Anhaltende Rechtsunsicherheit
Die Situation für Unternehmen bleibt weiterhin ungewiss. Der aktuelle rechtliche Rahmen genügt den Datenschutzanforderungen nicht mehr und könnte jederzeit durch eine Klage vor einem Zivilgericht beurteilt werden. Das neue Privacy Shield Abkommen wirft viele Fragen auf, eine Einigung und ein neues Abkommen sind noch nicht greifbar.
Spezialfall Schweiz
Der Eidgenössische Datenschutzbeauftragte in der Schweiz (EDÖB) empfiehlt hiesigen Unternehmen: „Solange kein neues Abkommen mit der amerikanischen Regierung ausgehandelt ist, bildet das Safe-Harbor-Abkommen auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA. In der Zwischenzeit empfiehlt der EDÖB, beim Datenaustausch mit US-Unternehmen vertragliche Garantien im Sinne des DSG zu vereinbaren (Art. 6 Abs. 2 lit. a). Auch wenn damit das Problem unverhältnismässiger Behördenzugriffe nicht gelöst ist, kann auf diesem Weg das Datenschutzniveau verbessert werden.“
Direkt ausgesetzt wird das hier geltende U.S.-Swiss-Safe-Harbor-Framework noch nicht, der Bundesrat wird nach Abschluss der EU Verhandlungen wohl aber eine parallele Vereinbarung zum neuen Privacy Shield anstreben. Der Datenaustausch zwischen der EU und der Schweiz bleibt übrigens weiter rechtens, denn die Schweiz erfüllt die EU-Anforderungen zum Datenschutz. Weitergehende Informationen dazu finden sich unter diesem Link. Als Standort für Unternehmensdaten verfügt die Schweiz demnach weiterhin über entscheidende Vorteile, sowohl für Unternehmen aus der EU, den USA oder der Schweiz.
Fazit
Die Ankündigung des neuen Privacy Shield Abkommens vermag die herrschende Rechtsunsicherheit in Bezug auf ausländische Datenstandorte oder Datentransfers nicht zu beseitigen. Planungssicherheit und Investitionsschutz wären aber insbesondere für multinational operierende Unternehmen dringend notwendig. Denn Überlegungen zur Rechenzentrumsstrategie sind langfristiger Natur. Die Schweiz bleibt ein verlässlicher und stabiler Standort für Daten.