Thought Leadership
Der nach langen Verhandlungen mit der US-Regierung von der Europäischen Kommission beschlossene EU-US Privacy Shield stärkt die Rechte von EU-Bürgern, deren Daten in die USA übermittelt werden. Gleichzeitig bringt er Erleichterungen für Unternehmen, die Daten exportieren.
Die Landesbeauftragte für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat kürzlich einen ersten Leitfaden zu den Anforderungen veröffentlicht, die deutsche Unternehmen beachten müssen, wenn sie personenbezogene Daten auf Grundlage des Privacy Shields in die USA übermitteln möchten.
Hintergrund
Das im Juli 2016 in Kraft getretene Privacy Shield tritt an die Stelle des Safe-Harbor-Abkommens, das der Europäische Gerichtshof im Oktober 2015 für unwirksam erklärt hatte. Es basiert wie schon das Safe-Harbor-Programm auf einer Selbstzertifizierung durch US-Unternehmen, verbunden mit der Verpflichtung, bestimmte Datenschutzgrundsätze einzuhalten. US-Unternehmen, die sich nach amerikanischem Recht zur Einhaltung der Prinzipien des Privacy Shields verpflichten, bieten nach dem Beschluss der Europäischen Kommission ausreichende Schutzgarantien und dürfen deshalb personenbezogene Daten verarbeiten, die sie von Unternehmen aus EU-Mitgliedstaaten erhalten.
Auch wenn das Privacy Shield unter Datenschützern nicht unumstritten ist, stärkt es die Rechte von EU-Bürgern, deren Daten an US-Unternehmen übermittelt werden. Für deutsche Unternehmen kann eine Zertifizierung des Datenempfängers in den USA aus verschiedenen Gründen von Vorteil sein. Für sie bringt der Leitfaden der LfDI jetzt erste Antworten auf die praktisch wichtige Frage, was zu beachten ist, wenn Daten auf der Grundlage des Privacy Shields an US-Unternehmen übermittelt werden sollen.
Wesentliche Verbesserungen gegenüber Safe Harbor
Gegenüber Safe Harbor bringt Privacy Shield eine Reihe von Verbesserungen.
Erhöhte Transparenzvorgaben und Veröffentlichungspflichten
Die Transparenzvorgaben und Veröffentlichungspflichten für US-Unternehmen wurden unter dem Privacy Shield im Vergleich zu Safe Harbor deutlich verschärft. So müssen zertifizierte US-Unternehmen in verständlicher Weise (z.B. auf ihrer Webseite) u.a. über die Kernelemente der vorgenommenen Datenverarbeitung (Art der Daten, Zweck der Verarbeitung, Voraussetzungen für Datenweitergaben, Haftung, etc.), ihre Teilnahme am Privacy Shield und die Möglichkeit der Anrufung unabhängiger Schlichtungsstellen informieren.
Erweiterte Wahlmöglichkeiten
Erweitert wurden auch die Wahlmöglichkeiten, die US-Unternehmen EU-Bürgern einräumen müssen. So können Betroffene widersprechen (opt out), wenn Unternehmen ihre Daten an Dritte weitergeben oder für wesentlich andere Zwecke verarbeiten wollen. Zum Vergleich: Unter Safe Harbor bestand der Opt-out-Mechanismus bei Zweckänderungen nur in Fällen, in denen die Verarbeitung mit dem ursprünglichen Zweck unvereinbar war. Sollen sensible Daten (z.B. Gesundheitsdaten) an Dritte übermittelt werden, müssen Betroffene sogar ihre ausdrückliche Einwilligung erteilen (opt in).
Detailliertere Anforderungen an Datenweitergaben durch US-Unternehmen
Wenn zertifizierte US-Unternehmen Daten aus der EU an Dritte weitergeben wollen, müssen sie Richtlinien und Verfahren entwickeln, die sicherstellen, dass der Dritte die Daten nur zu bestimmten und begrenzten Zwecken verwendet. Unter bestimmten Voraussetzungen muss mit dem Dritten ein schriftlicher Datenschutzvertrag abgeschlossen werden.
Neue Vorgaben zur Aufbewahrung personenbezogener Daten
Anders als noch unter Safe Harbor finden sich im Privacy Shield erstmals auch ausdrückliche Vorgaben zur zulässigen Speicherdauer personenbezogener Daten. Danach dürfen die Daten grundsätzlich nur solange aufbewahrt werden, wie es für den Verarbeitungszweck erforderlich ist.
Neue Rechtsbehelfe für EU-Bürger
Die Pflicht, Regress-, Durchsetzungs- und Haftungsmechanismen einzurichten, wurde im Vergleich zu Safe Harbor ebenfalls erheblich verschärft. So können sich Betroffene bei Beschwerden direkt an das fragliche US-Unternehmen wenden. Dieses muss sicherstellen, dass Beschwerden innerhalb von 45 Tagen kostenfrei bearbeitet werden. US-Unternehmen müssen ferner Schlichtungsstellen in den USA oder der EU benennen, an die sich EU-Bürger kostenlos wenden können. Daneben können Betroffene auch direkt ihre nationalen Datenschutzbehörden oder ein Schiedsgericht anrufen.
Garantien zum Datenzugriff durch US-Behörden
Zum Schutz der Daten von EU-Bürgern vor staatlichem Zugriff hat sich die US-Regierung verpflichtet, eine neue Aufsichtsinstanz in Gestalt einer unabhängigen Ombudsperson zu schaffen. Diese soll dafür Sorge tragen, dass Beschwerden von EU-Bürgern korrekt bearbeitet werden. Beschwerden von EU-Bürgern können auch direkt an die Kontrollgremien der Mitgliedstaaten gerichtet werden, die für die Beaufsichtigung der Nachrichtendienste und/oder die Verarbeitung von personenbezogenen Daten durch staatliche Behörden zuständig sind. Ferner enthält das Privacy Shield verschiedene Zusicherungen, dass Datenerhebungen durch US-amerikanische Behörden nur eingeschränkt erfolgen.
Jährliche Überprüfung
Die Zertifizierung unter dem Privacy Shield ist jährlich zu erneuern. Auch die Entscheidung zum Privacy Shield selbst unterliegt einer jährlichen Überprüfung durch die EU-Kommission. Werden dabei Defizite festgestellt, hat die EU-Kommission die Möglichkeit, das Privacy Shield nachzubessern.
Vorteile des Privacy Shields aus Unternehmenssicht
Für deutsche Unternehmen hat eine Zertifizierung des US-amerikanischen Datenempfängers den Vorteil, dass keine komplexen Vertragswerke aufzusetzen sind, wie dies bei den EU-Standardvertragsklauseln samt deren individuell auszufüllenden Anlagen erforderlich ist. Damit ist das Privacy Shield deutlich flexibler als die Vertragslösungen, vor allem dann, wenn nachträglich andere Kategorien von Daten in den USA verarbeitet werden sollen, als zunächst geplant.
Einige Großkonzerne wie Microsoft und Google sowie eine Vielzahl weiterer Unternehmen nutzen das Privacy Shield bereits. Die teilnehmenden Unternehmen sind in dem vom US-Handelsministerium geführten und im Internet veröffentlichten Register einsehbar.
Prüfpflichten für deutsche Unternehmen
Deutsche Datenexporteure dürfen sich allerdings nicht allein auf eine Zertifizierung des Datenempfängers nach dem Privacy Shield verlassen. Wie die nordrhein-westfälische Datenschutzbehörde in ihrem Leitfaden deutlich macht, müssen Unternehmen, die Daten auf der Grundlage des Privacy Shields übermitteln, die Einhaltung der übernommenen Garantien durch den Datenimporteuer gründlich und regelmäßig überprüfen. Es ist sicherzustellen, dass der Datenimporteur in den USA eine (noch) gültige Zertifizierung besitzt und der fragliche Datenaustausch von der Zertifizierung abgedeckt ist. Auch muss überprüft werden, wie das US-Unternehmen seinen Informationspflichten gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.
Besonders wichtig ist die Dokumentation der durchgeführten Prüfungen und der Prüfergebnisse. Das sollte in Praxis aber keine unlösbare Aufgabe darstellen, zumal sich alle europäischen Unternehmen unter der ab dem 25. Mai 2018 anwendbaren Datenschutzgrundverordnung ohnehin an umfangreiche zusätzliche Prüf- und Dokumentationspflichten in allen Bereichen der Verwendung von personenbezogenen Daten gewöhnen müssen.
Insgesamt bringt das Privacy Shield allen Unkenrufen zum Trotz eine begrüßenswerte Erleichterung des transatlantischen Datenaustauschs bei gleichzeitig deutlicher Verbesserung des Datenschutzniveaus.
Autoren: Dr. Christian Hamann ist Counsel und Dr. Manuel Klar ist Rechtsanwalt in der Kanzlei Gleiss Lutz. Beide sind spezialisiert auf Rechtsfragen rund um Datenschutz und Datensicherheit.
