Am 12.07.2016 hat die EU-Kommission grünes Licht für das EU-US Privacy Shield gegeben. Dabei handelt es sich um ein neues Datenschutzabkommen zwischen der EU und den USA, auf dessen Grundlage personenbezogene Daten durch US-Dienstleister verarbeitet werden dürfen. Das neue Abkommen war nötig geworden, nachdem der Europäische Gerichtshof das Safe Harbor-Abkommen im Herbst 2015 für unwirksam erklärt hatte.

Privacy Shield
Neue Rechtsgrundlage für Datentransfers in die USA

US-Unternehmen haben nun die Möglichkeit, sich unter das Privacy Shield zu stellen. In der Praxis bedeutet dass, das US-Unternehmen ab dem 1. August 2016 eine Selbstzertifizierung vornehmen können und damit ein Datenschutzniveau schaffen, welches den Europäischen Standards vergleichbar ist. Das Privacy Shield attestiert US-Unternehmen also ein „angemessenes Datenschutzniveau“ nach Art 25 der Europäischen Datenschutzrichtlinie. Dies ist wiederrum Voraussetzung dafür, dass EU-Unternehmen Daten rechtmäßig in ein Drittland wie die USA transferieren dürfen.

 

Grundsätze des Privacy Shields

  • Strenge Auflagen für Unternehmen, die Daten verarbeiten: Im Rahmen der neuen Regelung wird das US-Handelsministerium die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich selbst unterworfen haben. Halten Unternehmen diese Regeln in der Praxis nicht ein, müssen sie mit Sanktionen und der Streichung von der Liste rechnen. Die strengeren Bedingungen für die Weitergabe von Daten an Dritte werden dasselbe Schutzniveau im Falle einer Datenweitergabe durch ein am Datenschutzschild beteiligtes Unternehmen garantieren.
  • Klare Schutzvorkehrungen und Transparenzpflichten beim Datenzugriff durch US-Behörden: Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird. Alle Personen in der EU erhalten erstmals Zugang zu Rechtsschutzmechanismen in diesem Bereich. Die USA haben eine unterschiedslose Massenüberwachung der im Rahmen des EU-US-Datenschutzschilds in die USA übermittelten personenbezogenen Daten ausgeschlossen. Das Büro des Direktors der nationalen Nachrichtendienste hat des Weiteren klargestellt, dass eine Sammelerhebung von Daten nur unter bestimmten Voraussetzungen und mit einer möglichst gezielten Ausrichtung erfolgen darf. Die Schutzvorkehrungen für die Verwendung von Daten unter solchen außergewöhnlichen Umständen werden im Einzelnen geregelt. Der US-Außenminister hat im Außenministerium eine Ombudsstelle eingerichtet, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können.
  • Wirksamer Schutz der Rechte des Einzelnen: Ist ein EU-Bürger der Auffassung, dass seine Daten im Rahmen des Datenschutzschilds missbraucht wurden, stehen ihm mehrere Möglichkeiten der Streitbeilegung offen, von denen er leicht und ohne große Kosten Gebrauch machen kann. Idealerweise wird sich das Unternehmen selbst um die Beschwerde kümmern und das Problem lösen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Einzelpersonen können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Für Rechtsschutzbegehren von EU-Bürgern, die den Bereich der nationalen Sicherheit betreffen, ist eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig.
  • Gemeinsame jährliche Überprüfung: Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit. Die Europäische Kommission und das US-Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird darüber hinaus alle anderen verfügbaren Informationsquellen heranziehen und einen an das Europäische Parlament und den Rat gerichteten öffentlichen Bericht vorlegen.

(Auszug aus der Pressemitteilung der EU-Kommission)

 

Rechtsgrundlage = Rechtssicherheit?

Die Entscheidung der EU-Kommission schafft erstmal Rechtssicherheit und ist von daher grundsätzlich zu begrüßen. Nach dem Wegfall von Safe Harbor sahen sich EU-Unternehmen von heute auf morgen mit rechtswidrigen Datenübermittlungen konfrontiert. Einige sind zwischenzeitlich auf alternative Lösungen wie die EU-Standardvertragsklauseln ausgewichen, um Datentransfers in die USA zu legitimieren. Das Privacy Shield bietet nun wieder eine pflegeleichtere Lösung. Allerdings darf das Privacy Shield nicht darüber hinwegtäuschen, dass die USA nach wie vor ein anderes Verständnis vom Datenschutz haben und auch weiterhin mit Zugriffen durch die US-Behörden gerechnet werden muss. Von daher besteht große Skepsis, wie lange auf das Privacy Shield gebaut werden kann. „Das Risiko ist groß, dass auch der Privacy Shield vor dem Europäischen Gerichtshof landet und dort für ungültig erklärt wird, wie zuvor schon Safe Harbor“, sagt der Hamburgische Datenschutzbeauftragte Professor Johannes Caspar.

 

Was müssen Unternehmen jetzt beachten?

Die Zusammenarbeit mit US-Dienstleistern und Konzerneinheiten in den USA ist für viele Unternehmen ohne ernstzunehmende Alternative. Sowohl das Privacy Shield, als auch die EU-Standardvertragsklauseln sind nicht in Stein gemeißelt, sondern können früher oder später durch den Europäischen Gerichtshof gekippt werden. EU-Unternehmen müssen sich also damit abfinden, dass keine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA von Dauer sein wird und man beim Weg über den Atlantik ein gewisses Insel-Hopping in Kauf nehmen muss.

Wenn die Datenverarbeitung auf Grundlage des Privacy Shields erfolgen soll, ist sicherzustellen, dass das US-Unternehmen die entsprechende Zertifizierung vorweisen kann. Wer bereits Anstrengungen zum Abschluss von EU-Standardvertragsklauseln unternommen hat, sollte diesen Weg weiterverfolgen.

 


RA_Sebastian_Herting_rundÜber den Verfasser
Sebastian Herting ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht und er ist externer Datenschutzbeauftragter für Unternehmen.