Privacy Shield – neue Regeln für den Datenaustausch

Datenschutz

Nachdem das EU-US-Datenaustauschabkommen „Safe Harbor“ im Oktober 2015 für ungültig erklärt worden war, einigten sich die Europäische Kommission und das US-Handelsministerium am 2. Februar 2016 auf eine Neuregelung des transatlantischen Datentransfers. Das so genannte EU-US Privacy Shield wurde vom Ausschuss nach Artikel 31 (ursprünglich gemäß Richtlinie 95/46/EC eingerichtet) unter Einschluss von  Vertretern der EU-Mitgliedstaaten am 8. Juli 2016 bestätigt. Am 12. Juli 2016 verabschiedete die Europäische Kommission das Abkommen offiziell. US-amerikanische Unternehmen hatten noch bis zum 1. August 2016 Zeit, um die Anforderungen des neuen Regelwerks überprüfen bevor sie sich registrieren und und unter dem Privacy Shield selbst zertifizieren. Eine neunmonatige Schonfrist gibt ihnen bis April 2017 Zeit, um die entsprechenden Compliance-Anforderungen umzusetzen.

Grundsätzlich erachtet die Europäische Kommission das Privacy-Shield-Rahmenwerk als adäquat für den Transfer personenbezogener Daten zwischen EU-Mitgliedstaaten (und gegebenenfalls der drei Mitglieder des Europäischen Wirtschaftsraums (EWR) Island, Liechtenstein und Norwegen) und den USA. In der Angemessenheitsentscheidung findet sich jedoch folgende Anmerkung:

Der Gemeinsame EWR-Ausschuss muss über die Einbindung der vorliegenden Entscheidung in das EWR-Abkommen entscheiden. Sobald die vorliegende Entscheidung für Island, Liechtenstein und Norwegen Gültigkeit besitzt, umfasst das EU-US Privacy Shield auch diese drei Länder und Hinweise aus dem Privacy-Shield-Paket an die EU und ihre Mitgliedstaaten beziehen sich demzufolge auch auf Island, Liechtenstein und Norwegen.

Das US-Handelsministeriums sieht das EU-US Privacy Shield als eine „erneute Datenschutzverpflichtung zwischen der EU und den USA“. Um sicherzustellen, dass die Rahmenvereinbarung relevant bleibt, werden das Handelsministerium, die US-amerikanische Bundeshandelskommission (Federal Trade Commission, FTC) und die EU-Datenschutzbehörden (Data Protection Authorities, DPA) jährliche Überprüfungstagungen durchführen, um Funktionalität und Compliance mit dem Privacy Shield zu diskutieren. Dadurch soll die Kooperation zwischen der FTC und den EU DPAs gestärkt werden, um die rigorose Durchsetzung der Datenschutzanforderungen des Privacy Shield zu erreichen.

EU-Bürger können Anliegen mit Bezug auf den Transfer personenbezogener Daten auf verschiedenen Wegen Gehör verschaffen. Diese sind nicht mit Kosten für die Individuen verbunden. So können sie mit ihren lokalen oder nationalen Datenschutzbehörden Kontakt aufnehmen, um Beschwerden vorzubringen und deren Lösung einzufordern. Außerdem enthält das Privacy-Shield-Rahmenwerk Schutzmechanismen und Transparenzanforderungen in Bezug auf Datenzugriffe durch US-Regierungsbehörden. Damit hat sich die US-Regierung erstmals der EU gegenüber schriftlich verpflichtet, den Zugriff öffentlicher Behörden auf personenbezogene Daten mit dem Ziel der Gewährleistung der nationalen Sicherheit klaren Beschränkungen, Schutzvorrichtungen und Aufsichtsmechanismen zu unterwerfen.

Um am Privacy Shield teilzunehmen müssen US-amerikanische Firmen sich registrieren und gegenüber dem US-Handelsministerium selbst zertifizieren. Außerdem müssen sie sich öffentlich dazu verpflichten, den Anforderungen des neuen Rahmenwerks zu entsprechen. Diese Anforderungen umfassen unter anderem:

  • Bekanntmachung: Teilnehmer müssen ihre Datenschutzrichtlinien überprüfen, aktualisieren und online publizieren; sie müssen ihre Verpflichtung erklären, dem Privacy Shield und den spezifischen Benachrichtigungsanforderungen des Rahmenwerks zu entsprechen.
  • Streitbeilegung: EU-Bürger, deren Daten von teilnehmenden Unternehmen verarbeitet werden, können direkt bei einem Teilnehmer Beschwerde einlegen; dieser muss innerhalb von 45 Tagen darauf antworten; die Teilnehmer müssen – kostenfrei für den EU-Bürger – eine unabhängige Instanz für Ermittlungen in Beschwerdefällen einrichten und umgehend auf solche Beschwerden antworten; Teilnehmer müssen sich auf Forderung des EU-Bürgers einem verbindlichen Schiedsgerichtverfahren stellen, um Streitfälle zu lösen, die nicht anderweitig mittels Prozessen des Rahmenwerks behoben werden konnten.
  • Kooperation mit dem Handelsministerium: Teilnehmer müssen mit dem US-Handelsministerium kooperieren, umgehend auf Beschwerden von EU-Bürgern antworten und zu ihrer Lösung beitragen; solche Beschwerden können auch durch die lokalen Datenschutzbehörden übermittelt werden.
  • Zweckbindung: ähnlich wie bereits unter dem Safe-Harbour-Abkommen dürfen Teilnehmer nur jene personenbezogenen Daten verarbeiten, die dem ursprünglichen Zweck der Datenerhebung entsprechen (sofern anschließende Zustimmung des Individuums nicht vorliegt).
  • Weiterübermittlung: : Teilnehmer müssen vertragliche Vereinbarungen mit Drittparteien treffen, um die Einhaltung des Privacy-Shield-Rahmenwerks und seiner Prinzipien sicherzustellen, einschließlich der Einwilligung des EU-Bürgers bezüglich der Verarbeitung persönlicher Daten.
  • Zugang: EU-Bürger haben ein Recht darauf zu erfahren, ob Teilnehmer ihre personenbezogenen Daten verarbeiten; sie haben weiterhin das Recht, diese unter bestimmten Umständen zu ändern, zu korrigieren oder zu löschen (z.B. wenn die Daten nicht korrekt sind oder deren Verarbeitung den Prinzipien des Privacy Shield widerspricht).

Sobald sich eine US-amerikanische Firma dem Privacy Shield verpflichtet hat, wird dies vollstreckbar gemäß US-Gesetzgebung und bleibt einklagbar bezüglich aller personenbezogenen Daten, die während der Phase der Selbstzertifizierung verarbeitet werden, selbst wenn eine Firma dann nicht teilnimmt.

Das Privacy-Shield-Rahmenwerk verbessert die Transparenz über die Nutzung personenbezogener Daten, stärkt den Datenschutz durch die Teilnehmer, und informiert EU-Bürger umfassend über ihre Rechte im Rahmen des Programms. Dennoch bleiben Kritikpunkte bestehen. So gibt es Einwände bezüglich des ungehinderten Zugriffs auf Konsumentendaten durch Nachrichtendienste und Strafverfolgungsbehörden. Auch die Tatsache, dass das Programm jährlich überprüft wird, wirft die Frage auf, ob das Gesetz nach Gutdünken geändert werden könne oder ob es ebenso niedergeschlagen werden könne wie der Vorgänger „Safe Harbor“. Deshalb wird das EU-US Privacy Shield mit großer Wahrscheinlichkeit noch von Aktivisten in Frage gestellt werden, und Europäische Gerichte (einschließlich des Europäischen Gerichtshofs) werden sich noch ausgiebig damit auseinandersetzen müssen. Weitere Fragen rund um Datenschutz und Compliance zwischen der EU und den USA werden sich auch um die Auswirkungen des „Brexit“ sowie die Implementierung der EU Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, drehen.

Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen eine Datenschutz-Verträglichkeitsprüfung vornehmen und analysieren, welche personenbezogenen Daten gesammelt, genutzt, verarbeitet und geteilt werden. Zudem müssen sie Compliance-Lücken erkennen und in angemessener Weise beseitigen. Risikobezogene Entscheidungen müssen vorausschauend getroffen werden und den Horizont der kommenden drei Jahre in Betracht ziehen. Organisationen, die personenbezogene Daten von EU-Bürgern in die USA transferieren, müssen über Notfallmechanismen verfügen, falls sich das Szenario plötzlich verändert. Zusätzlich dazu hat die Arbeitsgruppe Datenschutz (Artikel 29) bestätigt, dass Musterverträge oder verbindliche unternehmensinterne Vorschriften weiterhin für den Transfer personenbezogener Daten von der EU in die USA genutzt werden können. Unternehmen, deren Geschäftstätigkeit einen solchen Datentransfer beinhaltet, sollten ihre Richtlinien und Verfahren vor dem Hintergrund dieser Entwicklungen überprüfen, insbesondere hinsichtlich der neuen Datenschutz-Grundverordnung, da dies nicht nur Auswirkungen auf Firmen innerhalb der EU haben wird sondern auch auf solche, die mit EU-Konsumenten Geschäfte tätigen.

Weitere Artikel