EU-Datenschutzabkommen: Wie Unternehmen vorgehen sollten

Gerald Trieb, Datenschutzexperte der Wiener Rechtsanwaltskanzlei Preslmayr.

Gerald Trieb, Datenschutzexperte der Wiener Rechtsanwaltskanzlei Preslmayr.

Datenschutz-Aktivisten laufen derzeit Sturm gegen das neue Datenschutzabkommen "Privacy Shield". Gerald Trieb, Wiener Anwalt und Datenschutzexperte, erklärt im Gespräch mit trend.at worauf es bei dem Abkommen wirklich ankommt und wie Unternehmen jetzt vorgehen sollten.

Dreh- und Angelpunkt des nun abgesegneten EU-Datenschutzabkommen "Privacy Shield" ist laut dem Wiener Anwalt Gerald Trieb von Preslmayr Rechtsanwälte die sogenannte Angemessenheitsentscheidung der EU-Kommission. Darin stellt die EU-Kommission fest, dass personenbezogene Daten, die nach den Regeln des Privacy Shields in die USA transferiert werden, einem angemessen Datenschutz unterliegen. Für den Transfer müssen daher keine weiteren Voraussetzungen erfüllt werden.

Zahlreiche Datenschutzaktivisten wie Max Schrems laufen zwar bereits gegen das Datenschutzabkommen Sturm, doch hatten die meisten Experten bislang nur Zugang zum Entwurf des Abkommens und nicht zur erst gestern veröffentlichten, endgültigen Fassung. "Solange man jedoch den endgültigen Vertragstext, der inklusive seiner Anlagen rund 150 Seiten stark ist, nicht genau studiert, kann man nicht beurteilen, ob das neue Abkommen alle diesbezüglichen Forderungen des EuGH zum früheren Safe Harbor-Abkommen erfüllen kann", so Datenschutzexperte Trieb. Gemessen an den Reaktionen der Datenschutzaktivisten darf man jedoch daran zweifeln.

US-Behörden war es generell gestattet auf elektronische Kommunikation zuzugreifen

Der Europäische Gerichtshof hatte das erste Datenschutzabkommen der EU mit den USA, das Safe-Harbor-Abkommen, im Oktober des Vorjahres für ungültig erklärt. Begründung: Das Abkommen hat die Daten europäischer Bürger in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt und ihnen keinen Rechtsschutz dagegen zugestanden. Hintergrund des EuGH-Urteils waren vor allem die Enthüllungen über eine massenhafte Überwachung des Internets durch US-Behörden. Der Gerichtshof fügte hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Weil EU-Bürger gegen die Weiternutzung ihrer Daten nicht gerichtlich Einspruch erheben könnten, sei zudem "der Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt".

Neue Bedingungen wann Datentransfer zulässig

"Das neue Abkommen regelt, unter welchen Bedingungen der Datentransfer an US-Unternehmen zulässig ist, sofern sie sich freiwillig den Bedingungen unterwerfen, ohne dass die Unternehmen sogenannte EU-Standardvertragsklauseln abschließen müssen.", erläutert Trieb. Die EU-Standardvertragsklauseln müssen in Österreich auch der Datenschutzbehörde vorgelegt werden, um den Transfer der Daten in die USA vorab genehmigen zu lassen. Um in den Genuss der Begünstigungen des Abkommens zu kommen, muss sich ein US-Unternehmen zunächst dem Abkommen unterwerfen und zu diesem Zweck zertifizieren lassen. "Erst dann darf das Unternehmen die Daten bekommen; nicht zertifizierte Unternehmen sind trotz den neuen Abkommens gezwungen, die EU-Standardvertragsklauseln abzuschließen", so Trieb.

Datenschutz-Expertengruppe wird Ende Juli Klarheit schaffen

Gute Anhaltspunkte dafür, ob das neue Abkommen dem EuGH-Entscheid, wie die EU-Kommission behauptet, tatsächlich entspricht, wird voraussichtlich Ende Juli die sogenannte Artikel 29 Datenschutzgruppe, eine europäische Expertengruppe, in der die Leiter der nationalen Datenschutzbehörden sitzen, im Rahmen einer Stellungnahme zum neuen Abkommen liefern. „Ihre Stellungnahmen sind zwar für Gerichte oder Behörden nicht bindend, haben aber in der Praxis hohe Bedeutung“ weiß Trieb.

Für Unternehmen, die Daten in die USA schicken, keine leichte Situation. Daten-Anwalt Trieb rät Unternehmen: "Vollständige Rechtssicherheit bietet weiterhin nur der Abschluss von Standardvertragsklauseln und ihre anschließende Genehmigung durch die Datenschutzbehörde." Scheut man diesen Aufwand und vertraut darauf dass die Angemessenheitsentscheidung rechtskonform ist, sollte man dennoch die weiteren Entwicklungen aufmerksam verfolgen. Wichtig ist laut Trieb die Stellungnahmen von Expertengremien und allfällige gegen das neue Abkommen gerichtete Beschwerdeverfahren im Auge zu behalten. Fällt tatsächlich auch das neue Abkommen, drohen nämlich ab Mai 2018 nach der neuen EU-Datenschutzgrundverordnung drakonische Strafen von bis zu 20 Millionen oder vier Prozent des weltweiten Konzernumsatzes.

Recht

Sportrechte: Der Kampf um nationale Heiligtümer

Elsner brachte neuen Schriftsatz für BAWAG-Wiederaufnahme ein

Recht

Elsner brachte neuen Schriftsatz für BAWAG-Wiederaufnahme ein

Rechtstipps

EU-Datenschutz-Grundverordnung: Was sich künftig ändert