EU-Datenschutz nach Safe Harbor: "Sicher ist nur, dass nichts sicher ist!"
Archivmeldung vom 01.06.2016
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 01.06.2016 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittFlashback: Der Europäische Gerichtshof (EuGH) hatte am 6. Oktober 2015 bekanntgegeben, dass das sogenannte Safe Harbor-Abkommen der EU-Kommission über den Datenschutz in den USA ungültig ist, da die persönlichen Daten europäischer Internetnutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt seien. Um rechtswidrige Datenübermittlungen auf Basis der nicht mehr wirksamen Safe Harbor-Entscheidung abzustellen, sollten ab 1. Februar 2016 rechtliche Maßnahmen zur Durchsetzung des Urteils ergriffen werden. Dies sollte insbesondere durch Untersagungsanordnungen erfolgen beziehungsweise durch die Verhängung von Bußgeldern.
Anfang Februar folge die Rolle rückwärts der EU-Datenschützer in Form eines neuen Abkommens mit den USA, das den transatlantischen Datenfluss schützen soll. Der sogenannte "EU-US Privacy Shield" soll als Nachfolgeregelung von Safe Harbor in Kraft treten. Die Datenschutz-Aufsichtsbehörden auf europäischer Ebene (sogenannte Artikel 29-Gruppe) halten Nachverhandlungen bei dem Datenschutz-Nachfolge-Abkommen für erforderlich, begrüßen aber im Kern den vorgelegten Verhandlungsentwurf zwischen den USA und der EU. Eine erneute umfassende Prüfung des EU-US-Privacy Shields wolle man spätestens mit In-Kraft-Treten der EU-Datenschutz-Grundverordnung Mitte 2018 vornehmen.
Eine Hängepartie, gerade für werbungtreibende Unternehmen, findet Dr. Jochen Schlosser, Senior Vice President Data beim Ad-Tech-Anbieter Adform, und kommentiert die aktuelle Situation so:
"Wirft man einen Blick auf den aktuellen Stand der Diskussion zum Privacy Shield, die Anpassung der EU-Datenschutz-Grundverordnung an nationales Recht oder auch den generellen Umgang mit personenbezogene Daten (PII), dann ist aktuell nur sicher, dass nichts sicher ist. Die Meinungen der Rechtsexperten taumeln zwischen "Alles wird schlimm" und "Alles wird gut". Hauptsächlich vermutlich, weil die Gesetze und Verordnungen dazu neigen, herrlich unkonkret zu bleiben. Und weil das so ist, werden am Ende Gerichte darüber entscheiden, was in der Praxis erlaubt sein wird und was nicht, wahrscheinlich indem jemand verklagt wird. Begriffe aus der digitalen Praxis wie Cookies, Tags, Opt-In oder Log-In-Daten werden sicherlich keine Verwendung in der Gesetzgebung finden. Wird es also in Zukunft einen klarer umrissenen und in der EU einheitlichen Handlungsspielraum geben? Möglicherweise, aber sicher nicht von jetzt auf gleich."
"Aktuell stellt sich die Situation so dar, dass die Artikel 29-Gruppe den Einsatz von EU-Standardverträgen weiter für zulässig hält. Nun gut, dann brauchen wir uns also keine Gedanken machen? Mitnichten! Denn eine umfassende Prüfung des EU-US-Privacy Shields wolle man spätestens mit In-Kraft-Treten der EU-Datenschutz-Grundverordnung Mitte 2018 vornehmen und die Datenschutz-Behörden verweisen darauf, dass in Bezug auf etwaige Datenverarbeitungsaktivitäten durch außereuropäische Geheimdienste und ihre Bedeutung für die Zulässigkeit außereuropäischer Datentransfers eine erneute Befassung des Europäischen Gerichtshofs im Raum steht. Das Dilemma bleibt also! Und die Einzigen, die aktuell davon zu profitieren scheinen, sind Rechtsberater. Und das noch eine ganze Weile. Denn was heute gilt, kann in sechs Monaten schon wieder über den Haufen geworfen worden sein, zumal in 2016 auch noch ein Update der ePrivacy-Richtlinie ansteht.
"Die gesamte EU-Datenschutz-Gesetzgebung befindet sich gerade in einem Umbruch. Und das Endresultat wird sich wahrscheinlich irgendwo zwischen den Forderungen der Mahner aus der (nicht nur digtialen) Wirtschaft und denen der Datenschützer und Politik einpendeln - vermutlich in letzter Instanz erst vor Gericht. Und das dauert. Wir sprechen hier über einen Zeitraum von zwei bis drei - ja, vielleicht sogar fünf Jahren - bis wir wirklich Klarheit haben."
"Doch was bedeutet das für werbungtreibende Unternehmen? Füße stillhalten und das Ganze aussitzen ist keine Option, denn dann ist man entweder vom Markt verschwunden oder im schlimmsten Fall derjenige, der für die Interpretationszwecke vor Gericht herhalten muss. Auf der Anklagebank. Werber müssen versuchen auf der sicheren Seite zu sein, nach bestem Wissen und Gewissen. Daher sollten sie in der aktuellen Situation so viele Unsicherheiten wie möglich aus dem Weg räumen und gleichzeitig versuchen, Datenschutzkonzepte auf die zukünftige Rechtslage anzupassen. Das heißt, technische und rechtliche Expertise aufbauen, in die eigene Datenhoheit investieren oder Daten in der EU von EU-Anbietern speichern zu lassen und vor allem mit solchen Partnern arbeiten, die schnell auf rechtliche Entwicklungen reagieren und Compliance sicherstellen. Für viele Händler, Werbetreibende und Marken bedeutet dies aber, zunächst einmal für Transparenz zu sorgen und sich Gewissheit darüber zu verschaffen, welche Daten wo gespeichert und verarbeitet werden und wer an welcher Stelle in diesem Zusammenhang haftet. Denn am aktuellen Schwebezustand wird sich auch in absehbarer Zeit nichts ändern und nur aus der Transparenz über die eigene Situation, kann in diesen Zeiten mit klarem Kopf agiert werden."
Quelle: Adform (ots)