rating service  security service privacy service
2016/10/03 Privacy Shield - Rechtssicherheit für Datentransfers in die USA?
Zustandekommen und Bedeutung - Selbstzertifizierung - Prinzipien - Rechtsschutz für Betroffene? - Rechtssicherheit für Unternehmen? - Fazit und Ausblick

Mit Privacy Shield schließt die EU-Kommission jene Lücke, die sich nach dem Schrems-Urteil des Europäischen Gerichtshofes (EuGH) aufgetan hatte. Nach der Aufhebung von Safe Harbor wurden viele Datentransfers in die USA schlagartig genehmigungspflichtig.

Für den Datentransfer in die USA bedeutet Privacy Shield eine wesentliche Erleichterung: Auf der Grundlage von - teilweise in Briefform gegebenen - Zusicherungen seitens der US-Regierung und US-Behörden erließ die EU-Kommission am 12.7.2016 eine Angemessenheitsentscheidung gemäß der Datenschutzrichtlinie. Personenbezogene Daten aus den EU-Mitgliedstaaten (und den drei EWR-Mitgliedern Norwegen, Liechtenstein und Island) können ohne weitere Beschränkungen an ein US-Unternehmen transferiert werden, wenn dieses eine Selbstzertifizierung vorgenommen hat.


Bedeutung

US-Unternehmen, die sich den Prinzipien von Privacy Shield unterwerfen, wird ein angemessenes Datenschutzniveau attestiert. Die Übersicht über die erforderlichen Prinzipien findet auf https://www.privacyshield.gov/EU-US-Framework.

Übermittlungen und Überlassungen an US-Unternehmen unter Privacy Shield sind nicht genehmigungspflichtig bei der Datenschutzbehörde. Eine Zertifizierung ist ab dem 1.8.2016 beim US-Department of Commerce möglich. Die Liste der zertifizierten Unternehmen kann unter https://www.privacyshield.gov/list abgerufen werden. Mit Stand Oktober sind etwa 310 Unternehmen gelistet, das sind 10% der früher unter Safe Harbour gelisteten Unternehmen.


Selbstzertifizierung - Privacy-Shield-Prinzipien

Um sich auf Privacy Shield stützen zu können, müssen sich US-Unternehmen im Wege der Selbstzertifizierung verpflichten, die vom Department of Commerce festgelegten Prinzipien (z.B. Auskunftspflicht) einzuhalten. Die Prinzipien entsprechen weitgehend jenen von Safe Harbor, sind aber teilweise konkreter gefasst. Die Selbstzertifizierung ist jährlich zu wiederholen.

Unternehmen sind verpflichtet eine Datenschutzrichtlinie (Privacy Policy) zu veröffentlichen, die mit den Prinzipien im Einklang steht. Das Department of Commerce muss Unternehmen, die dauernd gegen die Prinzipien verstoßen oder die Zertifizierung nicht erneuern, von der Privacy Shield-Liste streichen. Gestrichene Unternehmen werden in eine eigene Liste eingetragen, die ebenfalls öffentlich abrufbar ist.


Beschwerdemöglichkeiten für Betroffene?

Insgesamt kann man - zumindest auf dem Papier - von eine Stärkung des Rechtsschutzes für europäische Bürger durch Privacy Shield im Vergleich zu Safe Harbor sprechen. Die Regelungen sind jedoch nicht verbraucherfreundlich, da sie kompliziert ausgestaltet sind. Betroffene, die einen Missbrauch ihrer personenbezogenen Daten vermuten, haben mehrere Möglichkeiten eine Beschwerde einzulegen.

An welche Stelle die Betroffenen ihre Beschwerde richten müssen hängt davon ab, ob sich das US-Unternehmen zu einer alternativen Streitbeilegung verpflichtet hat oder nicht. Bürger können sich auch an die Datenschutzbehörden der Mitgliedsstaaten werden, die zusammen mit der Federal Trade Commission (FTC) für Abhilfe sorgen sollen. Das letzte Mittel stellt ein Schiedsverfahren dar.

Für den Rechtsschutz betreffend der nationalen Sicherheit ist eine von den nationalen Geheimdiensten unabhängige Ombudsstelle zuständig.

Ob es tatsächlich zu merkbaren Verbesserungen für Betroffene kommen wird, wird erst die Praxis zeigen. Betroffene sind weitgehend vom Handeln der US-Behörden abhängig, was zu massiven Rechtsschutzdefiziten führen kann. Insgesamt ist daher zu befürchten, dass das Schutzniveau für Betroffene trotz Verbesserungen deutlich hinter dem europäischen zurückbleiben wird.


Rechtssicherheit für Unternehmen?

Ob Privacy Shield die erhoffte dauerhafte Rechtssicherheit für Unternehmen bringt, kann wohl erst in einem Jahr festgestellt werden. Privacy Shield wird jährlich von der EU-Kommission und vom US-Department of Commerce überprüft. Kriterium wird sein, ob die Zusicherung der Einschränkung des Zugriffs auf personenbezogenen Daten von EU-Bürgern durch US-Behörden auch tatsächlich eingehalten wird. Wie die EU-Kommission schreibt ist „der Datenschutzschild nicht in Stein gemeißelt. Er wird regelmäßig überprüft, um sicherzustellen, dass er gut funktioniert. Sollte der Datenschutzschild kein angemessenes Datenschutzniveau mehr gewährleisten, wird die Europäische Kommission geeignete Maßnahmen ergreifen und ihren Angemessenheitsbeschluss gegebenenfalls aussetzen.“

Auch eine Aufhebung der Angemessenheitsentscheidung durch den EuGH wie im Fall Schrems/Facebook ist möglich, allerdings wegen der Dauer der Verfahren in naher Zukunft unwahrscheinlich. Realistischer ist eine Anpassung der Regelungen durch die Kommission im Rahmen der jährlichen Überprüfung, falls Privacy Shield ein angemessenes Datenschutzniveau nicht herstellen kann. Einer neuerlichen Aufhebung der Angemessenheitsentscheidung durch den EuGH könnte die EU-Kommission so zuvorkommen.


Fazit

Privacy Shield bietet nur eingeschränkt Rechtssicherheit für Unternehmen mit Datenfluss in die USA. Wer auf Nummer sicher gehen will, stützt den Datentransfer zusätzlich auf Standardvertragsklauseln oder Binding Corporate Rules, um im Falle der Aussetzung oder Aufhebung von Privacy Shield nicht mit leeren Händen dazustehen. Unternehmen, die nach Aufhebung von Safe Harbor ein Genehmigungsverfahren bei der Datenschutzbehörde begonnen haben, ist jedenfalls anzuraten, dieses nicht abzubrechen.

Ein sicherer und nicht genehmigungspflichtiger Weg ist der Datentransfer innerhalb der EU. Der Datenverkehr innerhalb europäischer Grenzen unterliegt nicht der Genehmigungspflicht durch die Datenschutzbehörde. Betroffenen kommt außerdem der vergleichsweise starke EU-Rechtsschutz zu Gute.

mehr --> Safe Harbor - Der Nebel lichtet sich
mehr --> In welche Staaten dürfen Personendaten genehmigungsfrei export...
mehr --> Facebook - EU-U.S. Privacy Shield Framework Framework: Active - Non-HR Data
mehr --> Übersicht adäquate Datenschutzbestimmungen in Nicht-EU-Staaten
mehr --> Presseerklärung EU-Kommission
mehr --> EU-Kommission Justiz - EU-US Privacy Shield
mehr --> Übersicht Privacy-Shield Abkommen
mehr --> Liste der Privacy Shield Unternehmen

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster