Unternehmen in Deutschland oder anderen Ländern der Europäischen Union, die personenbezogene Daten an Stellen in den U.S.A. übertragen, sahen sich in den letzten Monaten mit einer großen Rechtsunsicherheit konfrontiert.
Mit der Unwirksamerklärung des Safe-Harbor-Abkommens durch den Europäischen Gerichtshof (EuGH) im Oktober 2015 ist eine datenschutzrechtlich und vor allem praktisch wichtigste Grundlage für den Datentransfer in die U.S.A. weggefallen (Safe Habor ist ungültig – was tun?). Nach Verhandlungen, die in der Öffentlichkeit lange kaum wahrgenommen wurden, stellte die Europäische Kommission am 29.02.2016 ein Legislativpaket vor, das mit den zuständigen US-Regierungsstellen vereinbart wurde: Das EU-U.S. Privacy Shield.
Bei der Datenübertragung in die U.S.A. nutzen viele Unternehmen seit der Safe Harbor-Entscheidung des EuGH als Rechtsgrundlage die EU-Standardvertragsklauseln oder Binding Corporate Rules oder aber die Einwilligungen der Betroffenen, deren Daten übertragen werden. Diese Rechtsgrundlagen erweisen sich in der Praxis jedoch als umständlich und mit einem hohen bürokratischen Aufwand verbunden.
Das EU-U.S. Privacy Shield soll hier Abhilfe schaffen: Es basiert – ähnlich wie zuvor das Safe Harbor-Programm – auf einem Selbstzertifizierungsverfahren, in dessen Rahmen sich die amerikanischen Unternehmen gegenüber dem U.S.-Department of Commerce (U.S.-Handelsministerium) auf die Einhaltung der EU-U.S. Privacy-Shield-Prinzipien verpflichten. Zusätzlich hat die U.S.-Administration im Rahmen des Abkommens Zusicherungen abgegeben, die ein angemessenes Datenschutzniveau in den U.S.A. garantieren sollen. Die Hauptbestandteile des EU-U.S. Privacy Shield lassen sich wie folgt zusammenfassen:
Das EU-U.S. Privacy Shield wurde bisher von zahlreichen Akteuren im Verhandlungsprozess stark kritisiert. Ein Angemessenheitsbeschluss von Seiten der Europäischen Kommission ist bisher noch nicht erfolgt. Diese würde das neue Abkommen in Kraft setzen. Vor diesem Hintergrund sollten Unternehmen die Übertragung von personenbezogenen Daten in die U.S.A. weiterhin auf die Verwendung von EU-Standardvertragsklauseln oder Binding Corporate Rules stützen.
Künftig wird die Übermittlung personenbezogener Daten an Drittländer in den Art. 44 ff. EU DS-GVO geregelt. Auch hiernach wird ein solcher Datentransfer nur möglich sein, wenn die Kommission eine Adäquanzentscheidung über ein angemessenes Schutzniveau personenbezogener Daten im Drittland getroffen hat. Fehlt eine solche Entscheidung (oder wird sie aufgehoben oder durch ein zuständiges Gericht für ungültig erklärt) bleibt wiederum nur der Weg über EU-Standardvertragsklauseln oder Binding Corporate Rules.
Seite als PDF sichernArtikel versenden
Den Kontakt zu Ihrem Ansprechpartner finden Sie auf: buse.de/anwaelte
Vielen Dank für Ihr Interesse an diesem Artikel.