Das neue EU-U.S. Privacy Shield Abkommen als Ersatz für das Safe Harbor-Programm

EU-U.S. Privacy Shield: Der nächste sichere Hafen für Arbeitnehmerdaten?


Das neue EU-U.S. Privacy Shield Abkommen als Ersatz für das Safe Harbor-Programm

Unternehmen in Deutschland oder anderen Ländern der Europäischen Union, die personenbezogene Daten an Stellen in den U.S.A. übertragen, sahen sich in den letzten Monaten mit einer großen Rechtsunsicherheit konfrontiert.

Das neue EU-U.S. Privacy Shield Abkommen als Ersatz für das Safe Harbor-Programm

Mit der Unwirksamerklärung des Safe-Harbor-Abkommens durch den Europäischen Gerichtshof (EuGH) im Oktober 2015 ist eine datenschutzrechtlich und vor allem praktisch wichtigste Grundlage für den Datentransfer in die U.S.A. weggefallen (Safe Habor ist ungültig – was tun?). Nach Verhandlungen, die in der Öffentlichkeit lange kaum wahrgenommen wurden, stellte die Europäische Kommission am 29.02.2016 ein Legislativpaket vor, das mit den zuständigen US-Regierungsstellen vereinbart wurde: Das EU-U.S. Privacy Shield.

Bei der Datenübertragung in die U.S.A. nutzen viele Unternehmen seit der Safe Harbor-Entscheidung des EuGH als Rechtsgrundlage die EU-Standardvertragsklauseln oder Binding Corporate Rules oder aber die Einwilligungen der Betroffenen, deren Daten übertragen werden. Diese Rechtsgrundlagen erweisen sich in der Praxis jedoch als umständlich und mit einem hohen bürokratischen Aufwand verbunden.

Das EU-U.S. Privacy Shield soll hier Abhilfe schaffen: Es basiert – ähnlich wie zuvor das Safe Harbor-Programm – auf einem Selbstzertifizierungsverfahren, in dessen Rahmen sich die amerikanischen Unternehmen gegenüber dem U.S.-Department of Commerce (U.S.-Handelsministerium) auf die Einhaltung der EU-U.S. Privacy-Shield-Prinzipien verpflichten. Zusätzlich hat die U.S.-Administration im Rahmen des Abkommens Zusicherungen abgegeben, die ein angemessenes Datenschutzniveau in den U.S.A. garantieren sollen. Die Hauptbestandteile des EU-U.S. Privacy Shield lassen sich wie folgt zusammenfassen:

  • Selbstverpflichtung von US-Unternehmen: Verpflichtung zur Einhaltung der EU-U.S. Privacy Shield Datenschutzprinzipien sowie deren Veröffentlichung in der Privacy Policy des Unternehmens.
  • Monitoring: Gemeinsame jährliche Evaluierung des EU-U.S. Privacy-Shield-Abkommens durch die EU und die U.S.A.
  • Zugriff der US-Regierung: Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden.
  • Rechtsschutzmöglichkeiten: Mehrstufiges Beschwerde- und Eskalationsverfahren soll EU-Bürgern effektiven Rechtsschutz ermöglichen.

Was müssen Unternehmen jetzt tun?

Das EU-U.S. Privacy Shield wurde bisher von zahlreichen Akteuren im Verhandlungsprozess stark kritisiert. Ein Angemessenheitsbeschluss von Seiten der Europäischen Kommission ist bisher noch nicht erfolgt. Diese würde das neue Abkommen in Kraft setzen. Vor diesem Hintergrund sollten Unternehmen die Übertragung von personenbezogenen Daten in die U.S.A. weiterhin auf die Verwendung von EU-Standardvertragsklauseln oder Binding Corporate Rules stützen.

Künftig wird die Übermittlung personenbezogener Daten an Drittländer in den Art. 44 ff. EU DS-GVO geregelt. Auch hiernach wird ein solcher Datentransfer nur möglich sein, wenn die Kommission eine Adäquanzentscheidung über ein angemessenes Schutzniveau personenbezogener Daten im Drittland getroffen hat. Fehlt eine solche Entscheidung (oder wird sie aufgehoben oder durch ein zuständiges Gericht für ungültig erklärt) bleibt wiederum nur der Weg über EU-Standardvertragsklauseln oder Binding Corporate Rules.

Seite als PDF sichern

Tags: #Datenschutz, #EU-U.S. Privacy Shield, #Safe Harbor, #Safe Harbor Programm

Artikel versenden