Safe Harbor ist tot. Allerdings befindet sich die EU-Kommission bereits seit längerem in Verhandlungen mit den USA über eine neue Version eines Safe Harbor Abkommens. Die von den europäischen Datenschutzbehörden gesetzte Frist zum 31.1.2016 hat großen zeitlichen Druck in diese Verhandlungen gebracht. Am 2.2. hat die zuständige EU-Kommissarin Věra Jourová eine Einigung mit den US-Stellen verkündet.

Neu ist zunächst der Name. Wie bereits zuvor angekündigt, gibt es kein Safe Harbor 2.0. Die neue Vereinbarung wird Privacy Shield heißen. Mehr als Presseverlautbarungen der Beteiligten auf U.S.-Seite und in Europa ist bisher nicht bekannt. Daraus ergibt sich aber folgendes:

• U.S.-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich auf die Einhaltung von Datenverarbeitungsstandards verpflichten („robust obligations“). Das U.S. Department of Commerce soll insbesondere die Veröffentlichung dieser Verpflichtung überwachen. Entscheidungen europäischer Datenschutzbehörden müssen beachtet werden.
• Der Zugriff von U.S.-Behörden auf Daten von EU-Bürgern soll klaren Grenzen unterworfen sein. Hierzu gebe es eine schriftliche Versicherung der U.S.-Stellen. Dabei soll ein Verhältnismäßigkeitsgrundsatz gelten. Eine anlasslose Massenüberwachung von in die USA übertragenen Daten soll es nicht geben.
• EU-Bürger, die sich durch amerikanische Behörden in ihren Rechten verletzt sehen, sollen in Zukunft eine Reihe von Rechtsschutzmöglichkeiten haben. Dazu zählt auch die Anrufung eines neu geschaffenen Ombudsmannes. Auch die EU-Datenschutzbehörden sollen weitergehende Rechte erhalten und sich mit Beschwerden insbesondere an das Department of Commerce und die FTC wenden können.

Mit den gestrigen Verlautbarungen ist der Weg zu einem neuen Abkommen noch nicht zu Ende. Zum einen müssen offenbar die Einzelheiten der Vereinbarung mit der US-Seite noch ausverhandelt und in einen rechtlich verbindlichen Text gegossen werden. Die USA müssen die sie betreffenden Teile der Vereinbarung implementieren, also Gesetze erlassen, die diese Vorgaben in den USA umsetzen. Außerdem wird es von der EU-Kommission den Entwurf einer neuen Angemessenheitsentscheidung geben. Diese Kommissionsentscheidung wird festhalten, dass U.S.-Unternehmen, die sich den Bedingungen des Privacy Shield unterwerfen, ein angemessenes Datenschutzniveau gewährleisten. Eine Übertragung von Daten an diese Unternehmen wird dann zulässig sein. Dabei wird die EU-Kommission die Art. 29 Arbeitsgruppe anhören. Über den Zeitrahmen für diese nächsten Schritte ist nichts bekannt.

Abzuwarten bleibt zunächst, wie sich die Datenschutzbehörden zu diesen Berichten positionieren. Außerdem muss der konkrete Text der Vereinbarung bekannt sein, bevor klare Empfehlungen gegeben werden können. Wie es aussieht kann das Privacy Shield aber in Zukunft ein handhabbarer Ersatz für Safe Harbor werden.

Einzelheiten rund um die Entscheidung des EuGH zu Safe Harbor haben Martin Schirmbacher und ich in FAQ Safe Harbor zusammengefasst.

UPDATE:

Die EU-Datenschutzbehörden haben in einer Stellungnahme vom 3.2.2016 zunächst angekündigt, die Einzelheiten des Privacy Shield prüfen zu wollen, sobald diese bekannt sind. Dafür soll offenbar eine Frist bis Ende März 2016 gelten. Jedenfalls bis dahin sollen Datentransfers auf Basis von Standard Clauses und Binding Corporate Rules weiterhin als zulässig gelten.