Die EU-Kommission und die US-Regierung haben die Regelung zum Datenaustausch zwischen der EU und den USA, das „Privacy Shield“ in Kraft gesetzt.

Vor rund neun Monaten, am 06.10.2015 hat der EuGH dem Datentransfer zwischen Europa und den USA auf der Grundlage des Safe Habor-Abkommens den Boden entzogen. Das Safe Habor-Abkommen sei in vielen Punkten nicht ausreichend, um das notwendige europäische Datenschutzniveau für den transatlantischen Datenaustausch zu gewährleisten. Während den deutschen Unternehmen zunächst eine Schonungsphase zur Umstellung ihres Datenaustausches gewährt wurde, verhängten Anfang des Jahres Datenschutzbehörden bereits Bußgelder, da verschiedene Unternehmen nach dem Kippen des Safe Habor-Abkommens durch den EuGH die vertragliche Grundlage zu ihrem Datentransfer nicht hinreichend umstellten. Als Alternative blieben lediglich die EU-Standardvertragsklauseln und die Binding Corporate Rules, wobei Erstere in einem gegenwärtigen gerichtlichen Verfahren ebenfalls einer Prüfung unterzogen sind.

Seit dem Richterspruch zum Safe Habor-Abkommen wurde mit Hochdruck an einer neuen vertraglichen Grundlage gearbeitet, die einen Datenaustausch zwischen Europa und den USA ermöglicht. Diese Grundlage ist nunmehr mit dem Privacy Shield gefunden.

Ab dem 01.08.2016 werden in den USA Zertifizierungen nach den Privacy Shield-Regeln entgegengenommen. Das US-Handelsministerium wird auf seiner Webseite eine Liste veröffentlichen, in der die zertifizierten US-Unternehmen aufgeführt sind. Datenschutzrechtlich verantwortliche Unternehmen aus der Europäischen Union können anhand dieser Liste prüfen, ob das entsprechend gewählte US-Unternehmen eine Privacy Shield-Zertifizierung besitzt. In diesem Fall können personenbezogene Daten an Unternehmen in den USA übermitteln werden, wenn eine Datenübermittlung nach den allgemeinen Regeln des Bundesdatenschutzgesetzes zulässig ist.

Erfreulich beseitigt das Privacy Shield die rechtlichen Unsicherheiten nach der Safe Harbor-Entscheidung. Doch ist das Privacy Shield bei den Datenschützern nicht unumstritten. Nach den Kritikern ändere auch das neue Abkommen ungeachtet der ausgehandelten Neuerungen im Vergleich zum Safe Harbor-Abkommen nichts an der Überwachungspraxis der USA, die Anlass der Safe Habor-Entscheidung des EuGH war. Ob das Privacy Shield nun die von der Wirtschaft erhoffte „solide“, oder doch nur eine vorübergehende Rechtsgrundlage bildet, wird sich zeigen. Es wird jedoch erwartet, dass auch das Privacy Shield alsbald einer gerichtlichen Prüfung unterzogen wird.

Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu stellen, sofern nachfolgende Voraussetzungen erfüllt sind:
 

• Das Unternehmen beschäftigt ständig neun Personen mit der automatisierten Verarbeitung personenbezogener Daten, oder
• wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind.
• Unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen, ist ein Datenschutzbeauftragter auch dann zu bestellen, wenn das Unternehmen automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeit.

 
Nach § 4f Abs. 3 Satz 5 BDSG kann ein Beauftragter für den Datenschutz, der verpflichtend zu stellen ist, nur dann gekündigt werden, wenn Tatsachen vorliegen, welche eine Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist rechtfertigen. Gemeint ist hiermit eine fristlose Kündigung des Arbeitsverhältnisses. Das Recht zur ordentlichen Kündigung ist vorübergehend für die Dauer der Bestellung und bis zum Ablauf eines Jahres nach Abberufung der Bestellung als Datenschutzbeauftragten ausgeschlossen.
 
Dieser Kündigungsschutz gilt nach dem Wortlaut des § 4f Abs. 3 Satz 5 BDSG nur für den Datenschutzbeauftragten. Das Arbeitsgericht Hamburg vertritt nunmehr die Auffassung, dass der besondere Kündigungsschutz auch auf den Stellvertreter des Datenschutzbeauftragten Anwendung findet, wenn der bestellte Datenschutzbeauftragte seine gesetzlichen Pflichten vorübergehend – etwa aufgrund von Krankheit – nicht ausüben konnte.
 
Eine gesetzlich vorgesehene Nachwirkung des Kündigungsschutzes von einem Jahr nach Beendigung der Tätigkeit des Datenschutzbeauftragten findet dann Anwendung, wenn der Stellvertreter auch tatsächlich die Aufgabe des Datenschutzbeauftragten wahrgenommen hat.
 
Der besondere Kündigungsschutz des Datenschutzbeauftragten beruht auf dem Umstand, dass dieser die Geschäftsführung und den Vorstand hinsichtlich des Datenschutzes überwachen soll und in der Ausübung seines Amtes als Datenschutzbeauftragter nicht nur unternehmensfreundliche Entscheidungen treffen muss.