Die Europäische Kommission hat das Privacy Shield Framework am Dienstag, 12. Juli 2016 verabschiedet. Demnach können Empfänger von personenbezogenen Daten in den USA beim US-Handelsministerium durch Vorlage einer Zertifizierung nach den Vorgaben des Privacy Shield ein angemessenes Datenschutzniveau, das nach § 4b BDSG gefordert ist, gewährleisten.
Damit wurde eine Rechtsunsicherheit beseitigt, die für Datenübertragung in die USA durch das Urteil des EUGH in Sachen Safe Harbor entstanden war.
Das Übertragen von personenbezogenen Daten in die USA sollte damit auch ohne Vorliegen besonderer Vereinbarung wie z. B. den EU-Standardvertragsklauseln wieder möglich sein.
Ab 1. August 2016 können Datenverarbeiter mit Sitz in den USA beim US-Handelsministerium die Zertifizierung beantragen.
Alle verantwortlichen Stellen in Europa sollten ab 1. August 2016 prüfen, ob für die betroffenen Dienstleistungsfirmen (Datenverarbeiter) eine solche Zertifizierung vorliegt.
Bei der Prüfung zur Datenübermittlung in die USA müssen zwei Prüfstufen durchlaufen werden:
1) Prüfung auf Zulässigkeit der Datenübermittlung
2) Prüfung auf Angemessenheit des Datenschutzniveaus im Empfangsland.
Dienstleistungsunternehmen in den USA, die eine Zertifizierung nach Vorlage des Privacy Shield nachweisen können, weisen ein angemessenes Datenschutzniveau auf. Die erste Prüfstufe bleibt jedoch – unabhängig von der zweiten – weiterhin für die verantwortlichen Stellen bestehen.
Es wird empfohlen, die weiteren aktuellen Entwicklungen und Stellungnahmen der Aufsichtsbehörden zum Datenschutz zu verfolgen. Ob sich das neue Abkommen als dauerhaft erweisen wird, bleibt abzuwarten. Von verschiedenen Seiten wird erhebliche Kritik am Privacy Shield geübt, sodass eine erneute Beschäftigung des EUGH mit diesem Thema möglich ist.