Ein Gastbeitrag der intersoft consulting services AG
Nachdem lange über den Datenschutzstandard diskutiert wurde, ist am 12. Juli das EU-US Privacy Shield in Kraft getreten. Wie auch zuvor Safe Harbor umfasst das Privacy Shield ein Selbstzertifizierungsverfahren, in dem sich in den USA ansässige Unternehmen zur Einhaltung bestimmter Datenschutzgrundsätze verpflichten. Teilweise, speziell von Wirtschaftsverbänden, wird das neue Verfahren ausdrücklich begrüßt. Hingegen bezweifeln Daten- und Verbraucherschützer den Datenschutzstandard des Privacy Shields und prognostizieren ihm keine lange Bestandszeit. Daher hat auch das lange erwartete In-Kraft-Treten die Unsicherheiten beim internationalen Datentransfer in die USA bis dato nicht beseitigen können. Die Situation wird dadurch verschärft, dass auch die EU-Standardvertragsklauseln vom Europäischen Gerichtshof auf ihre Zulässigkeit hin überprüft werden sollen.
Hintergrundwissen zum Datentransfer in die USA
Werden personenbezogene Daten aus dem EU/EWR in ein Drittland übermittelt, muss das Drittland ein dem EU-Standard entsprechendes Datenschutzniveau aufweisen (Art. 25 Abs. 1 EU-Datenschutzrichtlinie). Für die USA wird dieser Status aufgrund der derzeitigen Gesetzeslage abgelehnt. Daher müssen in der EU ansässige datenexportierende Unternehmen jeweils im Einzelfall sicherstellen, dass ihr Vertragspartner in den USA ausreichende Maßnahmen zum Datenschutz trifft.
Vor dem In-Kraft-Treten des Privacy Shields konnte der erforderliche Datenschutzstandard nur durch EU-Standardvertragsklauseln oder Binding Corporate Rules nachgewiesen werden. Bei EU-Standardvertragsklauseln handelt es sich um ein von der EU fest vorgegebenes Regelungswerk, das von den Datenschutzbehörden als datenschutzkonform anerkannt wird. Der Nachteil liegt jedoch darin, dass die Klauseln nicht individuell angepasst werden können und amerikanische Firmen mitunter Vorbehalte haben, sich vertraglich an die Vorgaben des europäischen Datenschutzrechts zu binden. Binding Corporate Rules als unternehmensinternes Regelungswerk bieten dagegen mehr Flexibilität, gelten jedoch nur innerhalb eines Konzerns. Ihre Aufstellung erfordert zudem einen erheblichen unternehmensinternen Aufwand.
Das Privacy Shield kommt nun als dritte Möglichkeit hinzu. Unternehmen, die sich zertifiziert haben, werden seit dem 01.08.2016 auf der Website des US Department of Commerce (DPC) in einer offiziellen Liste geführt. Auf der Liste stehen derzeit bereits Microsoft oder der Cloudanbieter Workday.
Wie funktioniert das Privacy Shield?
Das Privacy Shield ist ein umfassendes Regelungswerk. Es enthält die vom DPC vorgegeben sieben Grundprinzipien zum Datenschutz, die das Unternehmen im Rahmen seines Zertifizierungsprozesses umsetzt, und sodann verbindlich einhalten muss. Die Prinzipien orientieren sich an den im europäischen Datenschutzrecht vorgegebenen Pflichten (Zweckbindung, Informationspflichten, Löschpflichten, Datenübermittlung an Dritte). Außerdem müssen die Unternehmen auch eine unabhängige Schlichtungsstelle benennen, über die Betroffene kostenfrei Datenschutzverstöße melden können.
Nach Abschluss der Zertifizierung werden die Unternehmen in der öffentlichen Privacy-Shield-List geführt. Aus dieser Liste ergeben sich auch weitere wichtige Informationen, wie die Datenschutzbestimmungen, eine Kontaktperson für Datenschutzvorfälle, die teilnehmenden Konzerngesellschaften und, sofern vorhanden, die Erstreckung auf HR-Daten.
Darüber hinaus enthält das Privacy Shield verschiedene Überwachungs-und Durchsetzungsmechanismen. Das DPC vergewissert sich kontinuierlich, dass die Vorschriften des Privacy Shields eingehalten werden. Als Konsequenz bei Verstößen gegen die Datenschutzbestimmungen wird das betroffene Unternehmen von der Privacy Shield Liste gestrichen. Es wird auf eine Liste gesetzt, in der der Verstoß genannt und öffentlich gemacht wird.
Zusätzlich regelt das Privacy Shield verschieden Möglichkeiten, auf denen Beschwerden eingereicht und zusätzliche Kontrollmechanismen in die Wege geleitet werden. Neben den nationalen Datenschutzbehörden und dem DPC, können Unternehmen und Privatpersonen sich auch an die Federal Trade Commission wenden (FTC).
Bei Fragen und Beschwerden zur Massenüberwachung durch US-Geheimdienste soll eine unabhängige Ombudsperson umfassende Prüfungen einleiten.
Das Regelwerk kann vollständig auf der Seite www.privacyshield.gov eingesehen werden.
Kritik am Privacy Shield
Auch wenn das Privacy Shield in Punkto Kontrollmöglichkeiten und Transparenz gegenüber Safe Harbor Verbesserungen erfahren hat, stehen wesentliche Punkte weiterhin in der Kritik:
- Die Grundprinzipien des Datenschutzes werden nur vage angesprochen.
- Die Unabhängigkeit der Ombudsperson wird angezweifelt.
- Die Gesetzeslage in den USA zur Massenüberwachung durch Geheimdienste ist unverändert.
Zukunftsprognose für das Privacy Shield – wie geht es weiter?
Der Privacy Shield ist von seiner Rechtsnatur als Angemessenheitsbeschluss nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie bindend und legitimiert in nächster Zeit die Datenübermittlung zu zertifizierten Unternehmen.
Für amerikanische Unternehmen bringt das Privacy Shield einen deutlichen Wettbewerbsvorteil. Wenn bereits zuvor mit Safe Harbor gearbeitet wurde, werden keine hohen Umstellungsmaßnahmen erwartet, sodass der Bearbeitungsaufwand gering ist.
Europäische Unternehmen sollten die Rechtslage zur Datenübermittlung in die USA weiter im Auge behalten. Überwiegend wird es für mehr als wahrscheinlich gehalten, dass das Privacy Shield aufgrund der verbleibenden Zweifel wieder vom EuGH überprüft und für unzulässig erklärt wird. In diese Richtung deutet auch, dass der „Artikel 29 Datenschutzgruppe“, die den Entwurf zum Privacy Shield zuvor heftig kritisiert hatte, vor In-Kraft-Treten nicht erneut Gelegenheit zur Stellungnahme eingeräumt wurde. Von einem Kompromiss kann daher nicht gesprochen werden.
Auch wenn das Privacy Shield zunächst bindend ist, ist die Situation langfristig unsicher. Zusätzlich sollten daher weiterhin EU-Standardvertragsklauseln in Erwägung gezogen werden. Da diese von den Datenschutzbehörden offiziell als zulässiges Mittel anerkannt sind, gelten sie weiterhin als sichere Methode beim Datentransfer.
Zusammenfassung
Abschließend die wichtigsten Fakten zum Privacy Shield auf einem Blick:
- Das Privacy Shield gewährleistet ein angemessenes Datenschutzniveau. Es befreit aber nicht von der Pflicht, in einem vorausgehenden Schritt zu prüfen, ob für die Datenübermittlung nach dem nationalen Recht eine Rechtsgrundlage besteht.
- Die Privilegierung durch das Privacy Shield gilt nicht automatisch für alle Unternehmen in den USA, sondern nur für diejenigen, die sich zertifiziert haben und auf der Liste veröffentlicht sind.
- Es ist konkret zu prüfen, auf welche Daten und Gesellschaften sich die Zertifizierung erstreckt.
- Das Privacy Shield ist bindend bis der EuGH es für unzulässig erklärt.
- Wegen heftiger Kritik ist die Wahrscheinlichkeit eines Verfahrens vor dem EuGH hoch und die Rechtssituation unsicher.
Sie brauchen Unterstützung beim Thema Datenschutz?
Die aktuelle Rechtslage macht es mitunter schwer, Risiken und Vorteile abzuwägen und eine Entscheidung zum Thema Datenübermittlung nach dem Privacy Shield zu treffen. Die Berater der intersoft consulting services AG sind langjährige Experten im Bereich des nationalen und internationalen Datenschutzes. Mit großem Interesse verfolgen wir daher auch die aktuellen Entwicklungen zum Thema Datenübermittlung nach dem Privacy Shield und EU-Standardvertragsklauseln. Gerne unterstützen wir Sie mit unserem Wissen bei Fragen zum Datenschutz und Datentransfer. Kontaktieren Sie uns!