Europäisches Parlament veröffentlicht Entschließung zum Privacy Shield

Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Datentransfers aus der EU in die USA kritisch betrachtet.

 

Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern.

 

Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 Abs. 3 DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird.

 

Als Angemessenheitsbeschluss ermöglicht der EU-US Privacy Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU Privacy Shield als Unternehmen mit hohem Datenschutzniveau gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen.

 

Der Privacy Shield stellt die Nachfolge des Safe-Harbour-Abkommens dar, welches der EuGH 2015 für unwirksam erklärt hatte. Weder Privacy Shield noch Safe-Harbour-Abkommen stellen jedoch rechtsverbindliche Abkommen dar. Allerdings bietet der Privacy Shield einen Rechtsrahmen, der die dort gelisteten Unternehmen und den insoweit mit den USA stattfindenden Datenaustausch als rechtssicher einordnet und damit auch aus Sicht der DSGVO legitimiert.

 

Das Europäische Parlament hat nun eine Entschließung zum Privacy Shield veröffentlicht und „vertritt die Auffassung, dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäß der Auslegung durch den Europäischen Gerichtshof erforderlich ist“.

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+MOTION+B8-2018-0305+0+DOC+XML+V0//DE

 

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments verlangt, dass, sollte sich die US-Seite bis 1. September 2018 nicht an die 2016 in Kraft getretenen Vorgaben halten, die EU-Kommission den Datenschutzschild außer Kraft setzen muss.

 

Ohne den Privacy Shield gelten die USA als „nicht sicheres Drittland“, so dass Datentransfers ohne Rechtsgrundlage einen Verstoß gegen die DSGVO bedeuten und mit hohen Bußgeldern belegt werden können.