Seit dem Sommer 2016 ist das EU-US Privacy Shield in Kraft. Es ermöglicht den Datentransfer mit US-amerikanischen Unternehmen, beispielsweise für Softwarelösungen von Google, Apple oder Microsoft. Die Artikel 29-Datenschutzgruppe hat nun erste Hinweise veröffentlicht, wie europäische Unternehmen das Privacy Shield nutzen sollten.

privacyshield_gross_neu

Der Datentransfer in die USA steht seit einiger Zeit unter Beobachtung. Erst kürzlich haben die Datenschutzbehörden begonnen, hunderte Unternehmen zu befragen, wie sie personenbezogene Daten in die USA übermitteln. Als rechtliche Grundlage kann mittlerweile das Privacy Shield genutzt werden. US-amerikanische Unternehmen können durch die Zertifizierung unter dem Privacy Shield nachweisen, dass europäisches Datenschutzrecht bei ihnen eingehalten wird. Allein die Zertifizierung genügt aber nicht, um personenbezogene Daten in die USA übermitteln zu dürfen.

Rechtsgrundlage für die Datenverarbeitung
Es muss zunächst eine Rechtsgrundlage für die Datenverarbeitung bestehen – auch bei der Nutzung des Privacy Shields. Dies kann beispielsweise ein Vertragsverhältnis begründen. Das Privacy Shield spielt nur hinsichtlich der Rechtmäßigkeit der Datenübertragung in die USA eine Rolle.

Worauf müssen Unternehmen noch achten?
Ob ein US-amerikanisches Unternehmen zertifiziert ist, kann einer Liste auf einer Webseite des US-amerikanischen Handelsministeriums entnommen werden. Dort sind bereits namhafte Unternehmen wie Google, Inc. oder Amazon.com, Inc. vertreten. Es finden sich auch weitere Informationen über die Zertifizierung, insbesondere für welche Art der Daten die Zertifizierung gilt. Im Wesentlichen wird zwischen Arbeitnehmer- und sonstigen personenbezogenen Daten unterschieden. Auch der Zeitraum der Zertifizierung kann eingesehen werden, denn diese muss nach einem Jahr erneuert werden.

Nach Auffassung der Artikel 29-Datenschutzgruppe müssen europäische Unternehmen außerdem ihre Kunden bzw. Arbeitnehmer über das US-amerikanische Unternehmen informieren, das die Daten erhält, und darauf hinweisen, dass der Datentransfer mittels des EU-US Privacy Shields erfolgt.

Sind Standardvertragsklauseln damit passé?
Der Datentransfer in die USA muss nicht auf das Privacy Shield gestützt werden. Vielmehr können auch Standardvertragsklauseln genutzt werden. Dazu sollte auf die aktuell gültige Version zurückgegriffen werden. Mitte Dezember 2016 wurden die Standardvertragsklauseln leicht abgeändert . Bereits abgeschlossene Standardvertragsklauseln können weiterhin genutzt werden. Daran ändert auch das Privacy Shield nichts.

Muss zusätzliche eine Auftragsdatenverarbeitung (ADV) geschlossen werden?
Wenn das US-amerikanische Unternehmen Daten im Auftrag des europäischen Unternehmens verarbeitet, muss auch unter dem Privacy Shield nach Ansicht der europäischen Datenschützer eine ADV geschlossen werden. Eine ADV liegt aber nur vor, wenn ein Dienstleister für die verantwortliche Stelle – meist das europäische Unternehmen – auch die Daten verarbeitet. Dies ist beispielsweise bei Fernwartungsverträgen der Fall.

Auf nationale Datenschutzregeln achten
Europäische Unternehmen müssen zusätzlich die besonderen Bestimmungen des nationalen Datenschutzrechts einhalten. Dies wird aller Voraussicht nach auch unter der Datenschutzgrundverordnung der Fall sein, da diese aufgrund zahlreicher Öffnungsklauseln separate nationale Regelungen zulässt. Eine Änderung des BDSG ist bereits in Planung.


Verfasser: Malte Kröger (juristischer Mitarbeiter der Datenschutzkanzlei)