Privacy Shield: Noch nicht ganz am Ziel

Die Hintergründe

Letzten Oktober hatte der Europäische Gerichtshof (EGH) das bisherige Abkommen für die Regelung von Datentransfers zwischen Unternehmen in der EU und den USA, genannt Safe Harbor, nach 15 Jahren für ungültig erklärt.

Die Europäische Kommission und das amerikanische Handelsministerium präsentierten im folgenden Februar ein neues Dokument. Das sogenannte Privacy-Shield-Abkommen sollte einen neuen, besseren Rahmen für transatlantische Datenübertragungen ermöglichen.

Obwohl die Kommission das Privacy-Shield-Abkommen als “starken Rahmen” präsentierte, der “die grundlegenden Rechte von Europäern beim Transfer personenbezogener Daten an US-Unternehmen sicherstellen” würde, hielt sich die “Artikel 29”-Arbeitsgruppe (auch WP29 vom Engl. “Working Party 29” genannt) mit Ihrer Bewertung des Abkommens zurück, bis sie einen tieferen Einblick in das Dokument erhalten könnte.

Unternehmen, die sich bislang an Safe Harbor festgehalten haben - die Anzahl beträgt mindestens 4000 - haben das neue Abkommen mit Spannung erwartet, um zu wissen wie sie verfahren müssen um der legalen Grauzone zu entkommen, in die die Entkraftsetzung von Safe Harbor sie gebracht hat.

Was sagen die europäischen Privatsphäre-Hüter zum Abkommen?

Im Februar hatte die “Artikel 29”-Arbeitsgruppe bereits angekündigt, mehr als zwei Monate zu benötigen um das neue Abkommen komplett analysieren und bewerten zu können. Die Arbeitsgruppe traf sich anschließend für zwei Tage, dem 12. Und 13. April, bevor sie ihre offizielle Einschätzung veröffentlichte.

Einerseits räumt die WP29 grundsätzlich eine “große Verbesserung” im Vergleich zum Safe-Harbor-Abkommen ein, besonders von der kommerziellen Seite betrachtet: Es wurden Bemühungen unternommen, die Regelungen für den Transfer personenbezogener Daten besser zu definieren und adäquate Rahmenbedingungen zu schaffen.

Auf der anderen Seite nannte die Gruppe eine Reihe wichtiger “Bedenken”, die folgende Punkte beinhalteten:

• Das Abkommen selbst ist viel zu komplex.

• Es existieren keine Absicherungen um EU-Bürger vor einer potentiellen Massen-Datensammlung durch US-Überwachungsprogramme zu schützen, was zur Folge hat, dass das Abkommen nicht den Erwartungen europäischen Rechtsstandards entspricht

• Europäische Bürger, die sich entschließen gegen einen möglichen Missbrauch ihrer persönlichen Daten vorzugehen werden dafür komplexe legale Mechanismen durchlaufen müssen

• Es gibt bisher nicht genügend Garantien dafür, dass die zuständige Instanz eine unabhängige Authorität darstellen wird.

Was kommt als Nächstes?

Die “Artikel 29”-Arbeitsgruppe hat weitere Klärungen zum Privacy-Shield-Abkommen gefordert. In jedem Fall ist der Text noch immer in Bearbeitung und es könnte noch weitere Monate dauern um die endgültige Version zu erhalten, was nicht vor Ende Juni erwartet wird. Das letzte Wort wird die Europäische Kommission haben.

Obwohl die Bewertung durch die WP29 nicht legal verbindlich ist, wird es die zukünftige Entscheidungsfindung zum Thema beeinflussen und weitere Bedenken äußern, die auch zusätzliche Verwirrung für Unternehmen mit sich bringen werden, die bereits seit der Entkräftung von Safe Harbor verunsichert waren.

Die Europäische Kommission wird sowohl die WP29 als auch eine Kommission konsultieren, die von Representanten der jeweiligen Mitgliedsstaaten zusammengesetzt wird. Experten vermuten jedoch, dass es unwahrscheinlich ist das die Europäische Kommission ihre Unterstützung des jetzigen Abkommens ändern und einen komplett neuen Vertrag mit den USA aufsetzen wird.

Momentan können Unternehmen nur abwarten. Wir werden die Entwicklungen weiter beobachten und Sie auf dem Laufenden halten, wie wir es bisher getan haben. In der Zwischenzeit können Sie aber sicher sein: Als Mailjet-Nutzer müssen Sie sich keine Sorgen um die Sicherheit der personenbezogenen Daten Ihrer Kunden machen, da sich unsere Server in Europa befinden und wir allen Richtlinien der EU-Privatsphäre-Regulation entsprechen.