Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.