Privacy Shield nach Safe Harbor

Business man defending light beams with umbrella concept on background
© Foto: ra2studio/fotolia

Privacy Shields kommt voran: Die EU-Kommission hat im Juli 2016 den mit den USA verhandelten Angemessenheitsbeschluss Privacy Shield erlassen. Das bedeutet für Datentransfers in die USA: Hat sich ein US-Unternehmen freiwillig den Bedingungen des Privacy Shield unterstellt und das US-Handelsministerium (FTC) die Selbstzertifizierung überprüft, können Datenübermittlungen an diese US-Unternehmen auf dieser Rechtsgrundlage erfolgen.

Bitte beachten Sie bei der Datenübermittlung in die USA:

  • Erlaubt sind nur Datentransfers an bei Privacy Shields zertifizierte Unternehmen , nicht grundsätzlich in die USA.
  • Voraussetzung ist, dass die Datenübermittlung grundsätzlich legitimiert ist.

Wie geht es mit dem Datentransfer in die USA weiter?

  • Große US-Unternehmen kündigen an, sich dem neuen Regelwerk Privacy Shield zu unterstellen.
  • Seit 1. August stellt die FTC die Bescheinigungen aus und veröffentlicht eine aktuelle Liste der zertifizierten US-Unternehmen im Internet.
  • Die Liste können Sie hier abrufen und nach Unternehmen recherchieren.
  • Privacy Shield und Standardvertragsklauseln (SCC) werden vielfach kritisiert. Die Frage, ob diese Rechtsinstrumente auf Dauer Bestand haben, wird letztlich der EuGH entscheiden.

Kernpunkte der Einigung der EU zu Privacy Shield

  • Selbstverpflichtung von US-Unternehmen: zur Einhaltung angemessener Datenschutzregeln und zu deren Veröffentlichung, sodass damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird. Betroffene sollen sich ferner direkt bei selbstverpflichteten US-Unternehmen beschweren können. Diese haben die Pflicht, Datenschutzverstöße abzustellen. Überwacht werden selbstverpflichtete US-Unternehmen von der Federal Trade Commission (FTC).
  • Rechtsschutzmöglichkeiten für EU-Bürger: In einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein selbstverpflichtetes Unternehmen hiergegen verstößt. Eine gerichtliche Klärung soll im Ausnahmefall ermöglicht werden.
  • Sanktionen: Falls selbstverpflichtete Unternehmen gegen Datenschutzregeln verstoßen, soll dies mit Strafen geahndet werden können.
  • Europäische Datenschutzaufsichtsbehörden: Selbstverpflichtete US-Unternehmen haben Entscheidungen europäischer Datenschutzaufsichtsbehörden zu akzeptieren und zu befolgen.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden: Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben und einer Überwachung unterliegen, beschränkt sein auf Einzelfälle (kein massenhafter Datenabgriff). Im Falle eines Verstoßes sollen EU-Bürger sich an einen Ombudsmann (wird als neue Stelle beim Department of State/Auswärtiges Amt eingerichtet) wenden können.
  • Jährliche Evaluierung des EU-US-Privacy-Shield-Abkommens: durch die EU und die USA

Wie kam es zu Privacy Shield?

  • Privacy Shield ersetzt das alte Safe Harbot-Abkommen. Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen.
  • Unternehmen mussten daraufhin ihre Datentransfers auf Standardvertragsklauseln (SCC) umstellen. SCC rechtfertigen einen Datentransfer in die USA nur im Einzelfall. Bei jedem weiteren Fall musste eine neue SCC abgeschlossen werden.
  • Privacy Shiels attestiert dagegen zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Darauf können Datenübermittlungen an diese global darauf gestützt werden.