Inhalt
Der Nachfolger von Safe Harbor steht fest: Am 12.07.2016 gab die Europäische Union (EU) grünes Licht für den EU-US Privacy Shield. Nachdem das Safe Harbor Abkommen mit den USA bereits hohe Wogen geschlagen hatte und 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde, soll der Privacy Shield nun den Datentransfer in die USA regeln. Nicht nur für Datenriesen wie Facebook und Google, sondern auch für kleine mittelständische Unternehmen, die mit US-amerikanischen Unternehmen zusammenarbeiten, ist die rechtssichere Datenübertragung essentiell. Kann das neue Abkommen die Daten vor dem Zugriff der US-Behörden schützen und Rechtssicherheit für den Datentransfer garantieren?
Welche Neuerungen bringt der Privacy Shield?
Laut der Europäischen Kommission soll der Datenschutzschild strengere Verpflichtungen für US-amerikanische Unternehmen beinhalten. Auf den ersten Blick erkennt man bereits Ähnlichkeiten zum Safe Harbor Abkommen. So bleibt das grundsätzliche Prinzip bestehen: US-Unternehmen können dem Abkommen durch eine Selbstverpflichtungserklärung zur Einhaltung angemessener Datenschutzregeln, welche jährlich zu wiederholen ist, beitreten. Über die Webseite des U.S. Department of Commerce ist eine Liste der beigetretenen Unternehmen verfügbar. Weitere Eckpunkte des Privacy Shield sind:
- Beschwerdemöglichkeit: Betroffene sollen sich direkt bei selbstverpflichteten US-Unternehmen beschweren können. Diese haben dann die Pflicht, Datenschutzverstöße abzustellen. Überwacht werden selbstverpflichtete US-Unternehmen von der Federal Trade Commission (FTC). Eine gerichtliche Klärung soll im Ausnahmefall ermöglicht werden.
- Sanktionen: Falls selbstverpflichtete Unternehmen gegen Datenschutzregeln verstoßen, soll dies mit Strafen geahndet werden können.
- Aufsicht europäischer Datenschutzaufsichtsbehörden: Selbstverpflichtete US-Unternehmen haben Entscheidungen europäischer Datenschutzaufsichtsbehörden zu akzeptieren und zu befolgen.
- Schutz vor extensivem staatlichen Zugriff: Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben und einer Überwachung unterliegen, und beschränkt sein auf Einzelfälle. Ein massenhafter Datenabgriff soll nicht mehr möglich sein. Im Falle eines Verstoßes sollen EU-Bürger sich an einen Ombudsmann (wird als neue Stelle beim Department of State/Auswärtiges Amt eingerichtet) wenden können.
- Evaluation: Jährliche Evaluierung des EU-US-Privacy-Shield-Abkommens durch EU und USA.
Heftig in der Kritik
Der Nachfolger war seit Beginn der Verhandlungen heftiger Kritik ausgesetzt. Fraglich ist, ob er die Probleme des Safe Harbor zu lösen vermag. Die wichtigsten Kritikpunkte am EU-US Privacy Shield:
- Geheimdienste der USA können weiterhin massenhaft und faktisch unkontrolliert auf personenbezogenen Daten von EU-Bürgern zugreifen und diese speichern und verarbeiten.
- Die Vereinbarung enthält zu wenige Änderungen und die Formulierungen sind zu löchrig.
- Die Kontrolle der Löschung der Daten ist schwer zu realisieren.
- Der Inhalt des Schutzschildes orientiert sich noch an der EU-Datenschutzrichtlinie (DSRL), obwohl die neue EU-Datenschutzgrundverordnung (DSGVO), die 2018 in Kraft tritt, einen breiteren Rahmen an Rechten und Pflichten enthält als ihr Vorgänger (bsp. Art.12-21 DSGVO)((Börding, Ein neues Datenschutzschild für Europa, CR 7/2016,440.)).
Datenschützer haben noch zahlreiche Bedenken. Deshalb hat die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium, bestehend aus Vertretern der Mitgliedsstaaten, den Privacy Shield nur unter Vorbehalt genehmigt. In einem Jahr, also im Sommer 2017, stellen Datenschützer das transatlantische Abkommen erneut auf den Prüfstand.
Was bedeutet es für Unternehmen?
Deutsche Unternehmen sind immer dann betroffen, wenn sie ihre Daten auf einem Server in den USA speichern oder eine Cloud-Lösung nutzen, deren Server in den USA stehen.
Für Unternehmen besteht derzeit erhebliche Rechtsunsicherheit, weil unklar ist, ob das Abkommen Bestand haben wird. Zum einen, weil es im Sommer 2017 nochmals geprüft wird und zum anderen, weil unklar ist, ob es im Falle einer Klage vor dem EuGH standhalten wird.
Für den Fall dass der Privacy Shield Bestand hat und sich deutsche Unternehmen darauf berufen möchten, ist darauf zu achten, dass das betroffene US-Unternehmen gemäß dem Privacy Shield zertifiziert ist. Das US-Handelsministerium stellt online eine Liste aller zertifizierten Unternehmen zur Verfügung. Die Gültigkeit der Zertifizierung ist regelmäßig einmal jährlich zu überprüfen. Außerdem muss auch der Nachweis über die Einhaltung der Informationspflichten gegenüber den Betroffenen (z.B. Informationen über den Zweck der Datenverarbeitung und die Weitergabe der Daten an Dritte) überprüft werden. Diese Überprüfungen sind zu dokumentieren.
Wenn sich herausstellt, dass der Datenschutzschild kein angemessenes Datenschutzniveau garantiert und er vom EuGH gekippt wird, ist die Datenübermittlung an US-Unternehmen auf dieser Grundlage rechtswidrig. Dann bleiben doch wieder nur die beiden verbleibenden Instrumente EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules als Lösung. In diesem Fall kann man nur hoffen, dass das notwendige Nachfolgeabkommen dann endlich einmal die datenschutzrechtlichen Vorgaben berücksichtigt.
Was können Unternehmen jetzt schon tun?
Mit der Nutzung einer EU-Cloud können Risiken umgangen werden, denn dadurch verbleiben die Daten in der EU und ein angemessenes Datenschutzniveau gilt als gegeben.
Eine weitere Möglichkeit für Unternehmen ist die Verwendung von EU-Standardvertragsklauseln oder von Binding Corporate Rules um eine sichere Datenübermittlung in die USA zu gewährleisten.
EU-Standardvertragsklauseln sind von der Europäischen Kommission entwickelte Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus bei der Datenübermittlung. Die Standardvertragsklauseln regeln Rechte und Pflichten der Parteien im Umgang mit personenbezogenen Daten. Das Unternehmen muss die korrekten Musterverträge auswählen und entsprechend ausfüllen. Dann werden sie von den Parteien (dem Unternehmen in der EU und dem Vertragspartner außerhalb der EU) unterzeichnet.((Lesen Sie hier den Beschluss der Europäischen Kommission im Wortlaut)) Doch auch dieses Instrument ist nicht unumstritten: Die irische Datenschutzbehörde lässt sie nun gerichtlich überprüfen.
Die Binding Corporate Rules sind interne Unternehmensrichtlinien, die sich eine Unternehmensgruppe auferlegt. Die Europäische Kommission hat einen Rahmen für diese Regelungen entwickelt ((Mehr dazu erfahren Sie in diesem Arbeitspapier)). Sie garantieren ebenfalls ein angemessenes Datenschutzniveau beim Umgang mit personenbezogenen Daten, allerdings nur zwischen Unternehmen einer Unternehmensgruppe. Für die Datenübermittlung an Externe Unternehmen können sie nicht herangezogen werden. Zudem müssen die Binding Corporate Rules nach ihrem Entwurf durch das Unternehmen zunächst von der Datenschutzaufsicht genehmigt werden. Dieser Genehmigungsprozess kann je nach Umfang und Art des Unternehmens ein Jahr und länger dauern.
Die rechtliche Situation der Übertragung personenbezogener Daten in die USA ist derzeit insgesamt unbefriedigend. Zwar hat die Europäische Kommission mit dem EU-US Privacy Shield ein Nachfolgeabkommen verabschiedet, allerdings ist dieses hochumstritten. Es besteht insofern die Gefahr, dass auch dieses Abkommen vom EuGH für rechtswidrig erklärt wird. Auch die EU-Standardvertragsklauseln als mögliche Alternative stehen vor einer Überprüfung durch den EuGH.
Für Unternehmen, die sich auf den EU-US Privacy Shield oder EU-Standardvertragsklauseln stützen, wird es schwer die aktuelle datenschutzrechtliche Entwicklung permanent im Blick zu behalten. Ein Datenschutzbeauftragter kann durch fachkundige Unterstützung bei der Bewältigung dieser Aufgabe helfen. So können Unternehmen den Zeitaufwand für Datenschutzmaßnahmen auf ein Minimum begrenzen. Erfahren Sie mehr darüber, wie wir Ihnen dabei helfen können.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.
