Privacy Shield - Abkommen zur Datenübermittlung

Nachdem am 12.07.2016 das neue Datenschutzabkommen Privacy Shield inkraftgetreten ist, haben erste Unternehmen die Selbstzertifizierung abgeschlossen. Mit Privacy Shield, wurde ein Ersatz für die im Oktober 2016 weggefallene Rechtsgrundlage Safe Harbor für Datentransfers in die USA geschaffen. Näheres zu Privacy Shield hatten wir zum Inkrafttreten z. B. hier geschrieben.

Stand heute (19.08.2016) sind 24 Unternehmen, teilweise mit diversen sog. Entitäten, also weiteren Konzernunternehmen, zertifiziert. Darunter sind u. a. Microsoft und Salesforce.

Ersatz für Safe Harbor

Was bedeutet das nun für Unternehmen, die personenbezogene Daten mit US-Unternehmen austauschen möchten? Zu allererst bedeutet das, dass überhaupt wieder eine nutzbare Basis für solche Transfers existiert. In der Zeit zwischen dem Wegfall von Safe Harbor und dem Inkrafttreten von Privacy Shield gab es de facto keine wirkliche valide und vor allem praktikable Rechtsgrundlage außer den EU-Standardvertragsklauseln. Binding Corporate Rules wurden und werden von den Aufsichtsbehörden mit Hinweis auf die massenhafte und anlasslose Datensammelei der US-Geheimdienste nicht mehr genehmigt.

Sind damit alle Transferns in die USA erlaubt?

Nun kann also eine existierende Privacy Shield Selbstzertifizierung als Basis für eine Rechtsgrundlage für Datenübermittlungen in die USA dienen. Dabei darf nicht übersehen werden, dass hiermit kein Freibrief für solche Datenübermittlungen ausgestellt wurde. Zuallererst ist – wie auch früher schon – im Vorfeld zu prüfen, ob eine gültige(!) und aktuelle(!) Zertifizierung existiert. Wie schon geschrieben: Stand heute sind lediglich 24 Unternehmensgruppen zertifiziert, groß ist die Auswahl an Partnern in den USA also noch nicht. Das sollte sich aber in den nächsten Wochen noch ändern.

Eine Rechtsgrundlage muss her

Ist die Prüfung mit positivem Ergebnis durchgeführt worden, kann also davon ausgegangen werden, dass ein ausreichendes Schutzniveau herrscht. Auf dieser Basis kann dann die eigentliche Rechtsgrundlage fußen. Bei dieser Rechtsgrundlage kann es sich z. B. um ein berechtigtes Interesse nach § 28 Abs. 1 Nr. 2 handeln oder auch um eine Datenverarbeitung im Auftrg nach § 11 BDSG. Bei einer Auftragsdatenverarbeitung ist dann auch zwingend ein entsprechender Auftragsdatenverarbeitungsvertrag zu schließen.

Nicht für die Ewigkeit

Nicht verschwiegen werden soll an dieser Stelle, dass auch das Privacy Shield Abkommen vermutlich nur eine temporäre Lösung darstellen wird. Zwar hat es als Entscheidung der EU-Kommission bindende Wirkung. Es ist aber bekannt, dass sowohl die Aufsichtsbehörden als auch die Artikel29-Gruppe nicht unerhebliche Vorbehalte haben. Aus Sicht der Aufsichtsbehörden kam der u. E. durchaus berechtigte Einwand, dass die massenhafte Datensammelei der US-Geheimdienste durch Privacy Shield nicht tangiert wird und weiterhin stattfindet. Allerdings haben die Aufsichtsbehörden hier vorerst keinen direkten Ansatzpunkt, da die Entscheidung der EU-Kommission wie schon geschrieben bindend ist. Es bleibt also abzuwarten, ob (bzw. wann) Privacy Shield durch den EuGH wieder gekippt wird. Die Vermutung, dass es zumindest bis zu ersten Klagen dagegen nicht allzu lange dauern wird, liegt nahe…

Planen Sie Datenaustausch mit den USA? Wir unterstützen Sie dabei!