Stolz hat die EU vor wenigen Tagen das neue EU-US Privacy Shield angekündigt (Pressemitteilung der Kommission). Nichts genaues weiß man freilich nicht, weil die zugehörigen Dokumente bislang weder öffentlich bekannt noch dem Zusammenschluss der europäischen Aufsichtsbehörden für den Datenschutz (sog. Art. 29 Gruppe) zugänglich gemacht wurden. Wer zum jetzigen Zeitpunkt das vormals als Safe Harbor 2.0 verhandelte Dokument in der Öffentlichkeit wahlweise als völlig untauglich oder Befreiungsschlag bezeichnet, hat entweder geheimes Insider-Wissen oder spekuliert, ohne das hinreichend zu kennzeichnen.
Art. 29 Gruppe: EU-US Privacy Shield muss geprüft werden
Die Art. 29 Gruppe hat genau aus diesem Grund in ihrer Stellungnahme vom 3. Februar 2016 (PDF) die Kommission aufgefordert, bis Ende Februar 2016 ihr alle relevanten Dokumente zur Prüfung und Bewertung vorzulegen. Einige Wochen später will die Art. 29 Gruppe dann das Ergebnis veröffentlichen und sich grundsätzlich zu Datentransfers in die USA äußern. Bis dahin geht die Art. 29 Gruppe davon aus, dass jedenfalls für bestehende Datenübermittlungen in die USA Bindung Corporate Rules und EU-Standardverträge (model clauses) als Erlaubnistatbestände wirksam sind. Ähnlich äußern sich einzelne Aufsichtsbehörden in Deutschland; hier ist ein einheitliches Bild jedoch nicht feststellbar.
Was bedeutet das konkret für betroffene Unternehmen?
Unser Mitarbeiter Valentino Halim hat die Sach- und Rechtslage im Beitrag „Update: Datentransfers in die USA aktuell und ab Februar 2016?“ bereits ausführlich dargestellt. Hieran hat sich bislang durch die Ankündigung des EU-US Privacy Shield nichts geändert.
Ich selbst (Sascha Kremer) werde am 24.2.2016 in Bonn für den Bonner Anwaltverein einen Vortrag zum Thema „Drittlandtransfers nach Safe Harbor und DSGVO-E“ halten. Dabei geht es auch um neue Instrumente in der voraussichtlich 2018 in Kraft tretenden europäischen Datenschutzgrundverordnung zur Legalisierung von Drittlandtransfers ohne BCR, ohne Standardverträge und ohne Einwilligung des Betroffenen. Die soll es nämlich nach dem Willen der DSGVO-E ausdrücklich geben (zur Anmeldung hier klicken).
Für die Ausgabe 6/2016 der Zeitschrift HR Performance habe ich außerdem einen Beitrag zu den Folgen von Safe Harbor für Personalverantwortliche und HR-Lösungen – z.B. zum Onboarding oder Wirkforce Management – geschrieben: „Übermittlung personenbezogener Daten in die USA ist derzeit verboten“ (PDF; die Überschrift ist unglücklich, weil in dieser Absolutheit nicht richtig). Dieser fasst Sachverhalt und ToDo für Unternehmen ebenfalls zusammen.
Aus dem Fazit meines Beitrags:
„Es ist zu prüfen, ob Übermittlungen von Beschäftigtendaten in die USA erfolgen, gleich ob aktiv oder passiv. Das ist sowohl für konzerninterne Übermittlungen aus auch für externe HR-Lösungen festzustellen.
Gibt es Übermittlungen von Beschäftigtendaten in die USA ist zu klären, auf welcher Grundlage diese stattfinden. Wird zur Rechtfertigung auf Safe Harbor abgestellt, ist die Übermittlung sofort auf eine andere Grundlage zu stützen oder einzustellen.„
Nicht weniger, aber auch nicht mehr ist das ToDo eines jeden Unternehmens für alle dort anfallenden personenbezogenen oder personenbeziehbaren Daten.
Ihr Ansprechpartner: Sascha Kremer.