activeMind AG - Bedeutung des EU-U.S. Privacy Shield für Unternehmen

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

EU-U.S. Privacy Shield bringt mehr Rechtssicherheit für europäische Unternehmen

Die gute Sache vorab: Mit Verabschiedung des EU-U.S. Privacy Shield kommt die Diskussion um den Datentransfer mit den Vereinigten Staaten vorübergehend wieder in ruhigere Gewässer. Die Europäische Kommission hat bei ihren Verhandlungen mit den USA einige Punkte in das neue Abkommen verhandelt, um der Kritik des Europäischen Gerichtshofes an dem für ungültig erklärten Safe-Harbor-Abkommen entgegenzuwirken. So sieht das neue Abkommen, das als Angemessenheitsentscheidung bezüglich des Datenschutzniveaus eines Drittlandes nach Artikel 25 EC/95/46 gilt, folgendes vor:

  • datenschutzrechtliche Pflichten und deren konsequente Durchsetzungsmöglichkeit in den USA;
  • klare Grenzen für und Schutzmaßnahmen gegen den Zugriff von amerikanischen Behörden auf Daten von EU-Bürgern;
  • Schutz von EU-Bürgern durch neue Rechtsmittel (z. B. Beschwerde, Streitbeilegung und Anrufung der eigenen Datenschutzbehörden, die mit den amerikanischen Behörden in Verbindung treten);
  • einen unabhängigen Ombudsmann, dessen Aufgabe es ist, die Einhaltung des EU-U.S. Privacy Shields zu überwachen und bei Beschwerden im Rechtsmittelweg mitzuwirken;
  • die Einführung eines jährlichen Überwachungssystems um die Effektivität des Privacy Shields zu gewährleisten.

EU-U.S. Privacy Shield bringt Pflichten für amerikanische Unternehmen

Auf der anderen Seite des Atlantiks werden sich nun die für den Datenschutz zuständigen Akteure in Unternehmen über folgende, zwingend zu erfüllende Voraussetzungen Gedanken machen müssen:

  • eine Erst- und sich jährlich wiederholende Anschlusszertifizierung unter dem EU-U.S. Privacy Shield;
  • die Einhaltung europäischer datenschutzrechtlicher Prinzipien, insbesondere:
    • Betroffenenrechte (Informations-, Korrektur-, Block- und Löschrechte);
    • Zweckbindung der Datenverarbeitung;
    • Einhaltung der Regeln zur Weiterleitung der Daten („Drittlandstransfer“);
    • das Recht, der Verarbeitung durch Dritte widersprechen zu können („opt-out“);
    • Sicherheitsrechtliche Gesichtspunkte (vergleichbar mit den „technischen und organisatorischen Maßnahmen“);
  • eine Frist von 45 Tagen, innerhalb derer auf Beschwerden von Betroffenen zu reagieren ist;
  • die Einführung einer Datenschutzerklärung auf der Website (Informationsrecht des Betroffenen wie seine Daten verarbeitet werden).

US-amerikanische Unternehmen können sich bereits ab dem 1. August 2016 unter dem EU-U.S. Privacy Shield selbst zertifizieren.

Das Ende einer mühseligen Geschichte?

Ob mit der Einführung des EU-U.S. Privacy Shield den Diskussionen rund um den Datentransfer in die USA nun Einhalt geboten ist, bleibt fraglich. Erste Stimmen kritisieren bereits, dass es sich bei dem neuen Abkommen immer noch um eine „Selbst-Zertifizierung“ handelt. Der unabhängige Ombudsmann, auch wenn durch die US-Regierung zugesichert und mit Kompetenzen zur Überprüfung ausgestattet, vermag kaum in der Lage sein, regelmäßig tausende von Unternehmen auf die Einhaltung der Regeln zu überprüfen. Außerdem bliebe es abzuwarten, wie US-amerikanische Behörden an der kurzen Leine gehalten werden können, da einige Zugriffe auf Daten dennoch möglich wären und niemand abzusehen vermag, inwieweit diese Kompetenzen interpretiert und potentiell ausgedehnt werden (Stichwort: US Freedom Act, vormals als US Patriot Act bekannt).

Fazit: Das Datenschutz-Abkommen ist ein Schritt in die richtige Richtung

Dennoch bleibt festzuhalten, dass mit dem EU-U.S. Privacy Shield neben den EU-Standardvertragsklauseln der Kommission und Binding Corporate Rules bis auf weiteres ein zusätzliches juristisches Mittel bereitsteht, um den Datentransfer mit amerikanischen Unternehmen auf rechtlich sichere und vorerst stabile Beine zu stellen.

Bitte bewerten Sie diese Inhalte!
[11 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.