privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japan

Privacy Shield – Abkommen zur Datenübermittlung in Kraft getreten

Zunächst einmal die gute Nachricht: Der Nachfolger des seit einigen Monaten ungültigen Safe Habor Abkommens wird den Unternehmen ab sofort eine gewisse Rechtssicherheit bei Datenübermittlungen in die USA bieten können. Eine derartige Datenübermittlung ist ab sofort unter gewissen Voraussetzungen zulässig.

Wie war die bisherige Rechtslage?

Bis Oktober letzten Jahres bestand für die Unternehmen die Möglichkeit, auf Basis des Safe Harbor Abkommens Datenübermittlungen in die USA durchzuführen. Da der EuGH dieses Abkommen als nicht konform zum europäischen Datenschutz erklärt hatte, fiel diese Möglichkeit der Datenübermittlung in die USA praktisch von jetzt auf gleich weg. Statt dieser relativ einfachen und unbürokratischen Möglichkeit, die Datenübermittlung rechtlich sauber zu gestalten blieb den Unternehmen seitdem nur die Verwendung der sogenannten EU-Standardvertragsklauseln. Wir hatten verschiedentlich über die Problematik berichtet (hier bzw. hier).

Das Verfahren ist zwar von den Aufsichtsbehörden akzeptiert, bedeutet jedoch einen enormen bürokratischen Aufwand. Auch ist nicht immer gesagt, dass der US-Vertragspartner bereit ist, eine entsprechende Regelung gemäß EU-Standardvertragsklausel zu unterzeichnen.

Privacy Shield in der Praxis

Zunächst ist festzuhalten, dass das Privacy Shield keine allgemeine Rechtsgrundlage zur Datenübermittlung darstellt. Ähnlich wie zuvor bei der Regelung nach Safe Harbor, kommen nur diejenigen US-Unternehmen als Datenimporteur in Frage, die sich nach den Bedingungen des Privacy Shield haben zertifizieren lassen. Bei allen nicht zertifizierten Unternehmen wird auch künftig nur die Verwendung der EU-Standardvertragsklauseln die Grundlage der Datenübermittlung in die USA sein können. Gerade Unternehmen, die mit Anbietern aus der EU, dem EWR oder aus sonstigen sichern Drittstaaten im Wettbewerb stehen, werden die Zertifizierung aber wohl durchführen um eventuelle Wettbewerbsnachteile zu vermeiden. So hat Microsoft bereits verlauten lassen, die Zertifizierung anzustreben.

Inhalte des Abkommens zum Privacy Shield

Durch einige Änderungen zum vorherigen Abkommen nach Safe Harbor sollen Rechtsunsicherheiten beseitigt werden und die Konformität zu den europäischen Datenschutzgesetzen gewährleistet werden:

Beschwerdemöglichkeit: Im US-Außenministerium wird die Position einer unabhängigen Ombudsperson eingerichtet werden. An diese Stelle kann sich jeder wenden, der Sorge hat, unrechtmäßig überwacht worden zu sein. Nach Prüfung der Angelegenheit erhält der Anfragende eine Stellungnahme zu der Frage, inwieweit die US-Regierung gegen geltendes Recht verstoßen hat.

Bulk collection: Die US-Regierung hat der EU-Kommission schriftlich zugesichert, dass sie die massenhafte Sammlung von Daten der EU-Bürger (bulk collection) durch ihre Geheimdienste, auf bestimmte Fälle beschränkt: Sie soll nur dann erfolgen, wenn die gezielte Überwachung von Einzelnen nicht durchführbar ist. Eine Verwendung der Daten ist auf wenige Zwecke beschränkt.

Speicherfrist: Im Rahmen der Zertifizierung verpflichten sich die Unternehmen, Daten von EU-Bürgern nur so lange zu speichern wie sie benötigt werden um den Zweck, zu dem sie erhoben wurden, zu erfüllen.

Jährliche Überprüfung: Eine jährliche Überprüfung der Wirksamkeit der Regelungen des Pricacy Shield und gegebenenfalls sich aus der Prüfung ergebende durchzuführende Anpassungen sollen sicherstellen, dass die Ziele des Datenschutzes erreicht werden.

Weiterhin Kritikpunkte der Datenschützer

Wie zu erwarten war, wurde das Abkommen von Wirtschaftsverbänden und Teilen der Politik begrüßt. Dies vor allem, da die Rechtsunsicherheit bei Datenübermittlungen in die USA künftig wegfallen wird, und weil die Datenübermittlung an zertifizierte Unternehmen mit wenig bürokratischem Aufwand erfolgen kann.

Anders sehen das die Datenschützer. Hauptsächliche Kritikpunkte sind dabei, dass die Datenschutzkontrolle in den USA weiterhin nicht unabhängig ist und daher nicht wirksam funktionieren kann sowie dass es für Verstöße gegen Grundsätze des Datenschutzes letztlich keinen wirksamen Rechtsschutz gibt.

Blick in die Zukunft

Trotz aller Kritik ist der Beschluss der EU-Kommission zunächst einmal rechtlich bindend und kann daher von den Unternehmen als Rechtsgrundlage für Datenübermittlungen in die USA herangezogen werden. Ob dies auch längerfristig möglich ist 0der ob das neue Abkommen zukünftig vom EuGH genauso kassiert wie das vorige Abkommen wird abgewartet werden müssen. Eines ist sicher: Irgendjemand wird klagen – und somit wird auch irgendwann ein höchstrichterliches Urteil weitere Klarheit oder eben neue Rechtsunsicherheit schaffen.

Wir werden die Leser unseres Newsletters über alle Neuigkeiten zum Thema Datenübermittlung in die USA natürlich auch weiter auf dem Laufenden halten. Sprechen Sie uns an, wenn Sie Datenübermittlungen in die USA durchführen oder planen, dies zu tun. Gerne unterstützen wir Sie bei der datenschutzkonformen Umsetzung!