Hat es die Europäische Kommission wirklich geschafft? Nach deren eigenen Angaben sind Eckpunkte einer Vereinbarung mit den Vereinigten Staaten von Amerika zur Neugestaltung von Datenübermittlungen in die USA unter Dach und Fach. Wesentliche Inhalte dieser politischen Einigung sind laut der Kommission Verbesserungen beim Rechtsschutz, eine fortwährende Kontrolle unter Einbeziehung der Datenaufsichtsbehörden, eine Verringerung der Zugriffswahrscheinlichkeit auf europäische Daten in den USA und ausdrückliche Verbesserungen der Rechtslage in den USA.
Diese und weitere Punkte sind Gegenstand der politischen Abreden. Ihre genauen Inhalte und insbesondere ihre Verbindlichkeit können noch nicht abschließend bewertet werden. Die Datenschützer auf europäischer Ebene haben eine intensive Prüfung angekündigt, die zunächst von dem Vorliegen eines Textes der Abrede abhängt. Dafür wurde der Kommission eine Frist bis Ende Februar gesetzt. Die für Anfang Februar angekündigten Prüfungen, ob Instrumente wie die Standardvertragsklauseln weiter Bestand haben, wurden insoweit verschoben.
Die seit der Entscheidung des EuGH bestehenden Ungewissheiten hinsichtlich der Zulässigkeit von Datentransfers in die USA bleiben daher weiter bestehen - zum Nachteil von Millionen Bürgerinnen und Bürgern in Europa, die aktuell nicht wissen können, ob mit ihren persönlichen Daten angemessen umgegangen wird; zum Nachteil von Unternehmen, die zur Zeit nur schwer einschätzen können, ob wirtschaftlich notwendige Datenübermittlungen in die USA rechtskonform sind; und zum Bedauern der Aufsichtsbehörden, die eine klare und einheitliche Position anstreben, jetzt aber erst einmal die politische Einigung der Kommission bewerten müssen.
Im Augenblick lassen sich keine verbindlichen und langfristigen Aussagen von Seiten der Aufsichtsbehörden treffen, sondern nur Übergangsregelungen finden. Für die Unternehmen bedeutet dies, dass aktuell in Anspruch genommene Instrumentarien zur Übermittlung von Daten in die USA bis Ende Februar weiter genutzt werden können; dies wird der LfDI RLP nicht beanstanden oder unterbinden. Dies gilt jedoch nicht für Datenübermittlungen auf der Grundlage der ungültigen Safe Harbor-Entscheidung der Kommission, diese sind seit der Entscheidung des EuGH vom 6. Oktober 2015 unzulässig.
Das weitere Vorgehen der Aufsichtsbehörden hängt nun angesichts der Umtriebigkeit auf europäischer Ebene von der Bewertung der Rechtslage ab. Wir werden die Entwicklung sehr intensiv beobachten und im März über weitere Schritte beraten und dann informieren, so Prof. Dieter Kugelmann, der rheinland-pfälzische Landesdatenschutzbeauftragte. Wir werden unseren seit Oktober beschrittenen Weg fortsetzen. Dazu zählen insbesondere Konsultationen mit Unternehmen im Einzelfall, Hinweise auf Alternativen zu Datenübermittlungen in die USA und erforderlichenfalls die Erhebung weiterer Informationen hinsichtlich der unternehmerischen Praxis.
Die Prüfung der Abrede, die zwischen Kommission und US-Regierung jetzt getroffen wurde, erstreckt sich auch auf die weiteren Instrumentarien für Datenübermittlungen ins Ausland, insbesondere auf Standardvertragsklauseln und Binding Corporate Rules. Auf dem Prüfstand steht deren weitere Vereinbarkeit mit den Grundsätzen des europäischen Datenschutzes, wie sie das europäische Verfassungsrecht vorgibt und der EuGH entwickelt hat. Prof. Kugelmann hält dazu abschließend fest: Diese komplizierten rechtlichen Erörterungen müssen so früh wie möglich zu einer klaren Grundlage für Datenübermittlungen in die USA durch die Wirtschaft führen. Das sind wir allen Beteiligten, Bürgerinnen, Bürgern und Unternehmen schuldig. Wir werden unseren Teil dazu tun.