News

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

Nachdem die Verabschiedung der EU-Datenschutz-Grundverordnung in Europa bereits viel Aufmerksamkeit auf sich zog, werden auch andere Regionen auf die neuen Vorschriften zum Datenschutz aufmerksam. Vor allem Artikel 3 der Datenschutz-Grundverordnung, der deren Anwendungsbereich auch auf Unternehmen erweitert, die keine Niederlassung in Europa haben, führt zu viel Aufregung, wie eine Präsentation der activeMind AG in Hongkong zeigte.

Falls sich die Briten am 23. Juni 2016 für den sogenannten Brexit entscheiden, wird dies wirtschaftliche Folgen von bisher nicht absehbarem Ausmaß haben. Davon wären keineswegs nur Unternehmen in Großbritannien betroffen, auch viele Firmen in EU-Staaten müssten mit Änderungen rechnen. So sollte unter anderem die Bedeutung des Brexit für den Datenschutz nicht vernachlässigt werden. Denn wenn das Vereinigte Königreich aus der Europäischen Union austritt, stellt sich die Frage, unter welchen Bedingungen künftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Nach dem Ende des Safe-Harbor-Abkommens im Oktober 2015 haben die Datenschutz-Aufsichtsbhörden auf die neue Rechtslage reagiert und Bußgelder gegen mehrere Unternehmen verhängt. Die Übergangsfrist für ungültig gewordene Datenübertragungen in die USA endete bereits am 31. Januar 2016. Die betroffenen Unternehmen hätten allerdings erheblich härter bestraft werden können.

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzbehörden hatte sich bisher erst das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit einem vernichtenden Urteil zu einer der Custom-Audiences-Varianten geäußert. Gegenüber der activeMind AG bestätigte die Behörde nun, dass bayerische Unternehmen derzeit stichprobenartig auf den Einsatz des Tools überprüft werden, was bundesweit Konsequenzen nach sich ziehen könnte. Wo liegen die datenschutzrechtlichen Schwachstellen von Facebook Custom Audiences? Ist ein datenschutzkonformer Einsatz (mancher Varianten) möglich?

Nachdem die EU-Kommission Anfang Februar erklärte, mit dem EU-U.S. Privacy Shield einen Ersatz für das ungültige Safe-Harbor-Abkommen gefunden zu haben (activeMind berichtete), legte die Behörde am 29. Februar 2016 erste schriftliche Entwürfe vor. Dem Anschein nach handelt es sich bei den Neuregelungen eher um eine Fortsetzung von Safe Harbor mit unverbindlichen Zusagen der USA, als um ein neues, für beide Seiten verbindliches Regelwerk, z. B. in Form eines Vertrages.

Gegen Datenschutzverstöße, die einen kommerziellen Bezug haben, können seit dem 24. Februar 2016 auch Verbraucherverbände juristisch vorgehen. Das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ räumt Verbänden ein Klage- und ein Abmahnrecht ein. Damit steigt die Gefahr für datenverarbeitende Unternehmen, für eine rechtswidrige Datenverarbeitung teure Abmahn- und Prozesskosten zahlen zu müssen.

Die Europäische Union und die USA haben sich am heutigen 2. Februar 2016 nach Angaben der EU-Kommission auf eine Nachfolge-Vereinbarung zum Safe-Harbor-Abkommen geeinigt. Der vielversprechende Titel der neuen Vereinbarung: „EU-U.S. Privacy Shield“ – zu Deutsch „EU-US-Privatsphäre-Schild“. Nach dem vom Europäischen Gerichtshof gekippten Safe-Harbor-Abkommen soll diese Vereinbarung zukünftig den Datentransfer zwischen den beiden Schwergewichten regeln.

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Die Entscheidung des Europäischen Gerichtshofs (EuGH), das Safe-Harbor-Abkommen für nichtig zu erklären, hat zu einer sehr deutlichen Verunsicherung geführt – nicht nur auf Seiten der betroffenen Unternehmen, sondern auch bei den Datenschutz-Aufsichtsbehörden. Es besteht Unklarheit, wie weitreichend das Urteil zu interpretieren ist und ob tatsächlich nicht nur Safe Harbor, sondern alle Konstruktionen betroffen sind, mit denen versucht wird, den Transfer von personenbezogenen Daten in die USA zu rechtfertigen. Dies führt derzeit zu einer unterschiedlichen Herangehensweise der zuständigen Aufsichtsbehörden in den Ländern. Der folgende Artikel verschafft einen kurzen Überblick.