Foto: iStock / weerapatkiatdumrong
Foto: iStock / weerapatkiatdumrong
Datenschutz

Privacy Shield - neue Regeln für den Datenaustausch

Nachdem das EU-US-Datenaustauschabkommen „Safe Harbor“ im Oktober 2015 für ungültig erklärt worden war, einigten sich die Europäische Kommission und das US-Handelsministerium am 2. Februar 2016 auf eine Neuregelung des transatlantischen Datentransfers. Das so genannte EU-US Privacy Shield wurde vom Ausschuss nach Artikel 31 (ursprünglich gemäß Richtlinie 95/46/EC eingerichtet) unter Einschluss von  Vertretern der EU-Mitgliedstaaten am 8. Juli 2016 bestätigt. Am 12. Juli 2016 verabschiedete die Europäische Kommission das Abkommen offiziell. US-amerikanische Unternehmen hatten noch bis zum 1. August 2016 Zeit, um die Anforderungen des neuen Regelwerks überprüfen bevor sie sich registrieren und und unter dem Privacy Shield selbst zertifizieren. Eine neunmonatige Schonfrist gibt ihnen bis April 2017 Zeit, um die entsprechenden Compliance-Anforderungen umzusetzen.

Grundsätzlich erachtet die Europäische Kommission das Privacy-Shield-Rahmenwerk als adäquat für den Transfer personenbezogener Daten zwischen EU-Mitgliedstaaten (und gegebenenfalls der drei Mitglieder des Europäischen Wirtschaftsraums (EWR) Island, Liechtenstein und Norwegen) und den USA. In der Angemessenheitsentscheidung findet sich jedoch folgende Anmerkung:

Der Gemeinsame EWR-Ausschuss muss über die Einbindung der vorliegenden Entscheidung in das EWR-Abkommen entscheiden. Sobald die vorliegende Entscheidung für Island, Liechtenstein und Norwegen Gültigkeit besitzt, umfasst das EU-US Privacy Shield auch diese drei Länder und Hinweise aus dem Privacy-Shield-Paket an die EU und ihre Mitgliedstaaten beziehen sich demzufolge auch auf Island, Liechtenstein und Norwegen.

Das US-Handelsministeriums sieht das EU-US Privacy Shield als eine „erneute Datenschutzverpflichtung zwischen der EU und den USA“. Um sicherzustellen, dass die Rahmenvereinbarung relevant bleibt, werden das Handelsministerium, die US-amerikanische Bundeshandelskommission (Federal Trade Commission, FTC) und die EU-Datenschutzbehörden (Data Protection Authorities, DPA) jährliche Überprüfungstagungen durchführen, um Funktionalität und Compliance mit dem Privacy Shield zu diskutieren. Dadurch soll die Kooperation zwischen der FTC und den EU DPAs gestärkt werden, um die rigorose Durchsetzung der Datenschutzanforderungen des Privacy Shield zu erreichen.

EU-Bürger können Anliegen mit Bezug auf den Transfer personenbezogener Daten auf verschiedenen Wegen Gehör verschaffen. Diese sind nicht mit Kosten für die Individuen verbunden. So können sie mit ihren lokalen oder nationalen Datenschutzbehörden Kontakt aufnehmen, um Beschwerden vorzubringen und deren Lösung einzufordern. Außerdem enthält das Privacy-Shield-Rahmenwerk Schutzmechanismen und Transparenzanforderungen in Bezug auf Datenzugriffe durch US-Regierungsbehörden. Damit hat sich die US-Regierung erstmals der EU gegenüber schriftlich verpflichtet, den Zugriff öffentlicher Behörden auf personenbezogene Daten mit dem Ziel der Gewährleistung der nationalen Sicherheit klaren Beschränkungen, Schutzvorrichtungen und Aufsichtsmechanismen zu unterwerfen.

Um am Privacy Shield teilzunehmen müssen US-amerikanische Firmen sich registrieren und gegenüber dem US-Handelsministerium selbst zertifizieren. Außerdem müssen sie sich öffentlich dazu verpflichten, den Anforderungen des neuen Rahmenwerks zu entsprechen. Diese Anforderungen umfassen unter anderem:

  • Bekanntmachung: Teilnehmer müssen ihre Datenschutzrichtlinien überprüfen, aktualisieren und online publizieren; sie müssen ihre Verpflichtung erklären, dem Privacy Shield und den spezifischen Benachrichtigungsanforderungen des Rahmenwerks zu entsprechen.
  • Streitbeilegung: EU-Bürger, deren Daten von teilnehmenden Unternehmen verarbeitet werden, können direkt bei einem Teilnehmer Beschwerde einlegen; dieser muss innerhalb von 45 Tagen darauf antworten; die Teilnehmer müssen – kostenfrei für den EU-Bürger – eine unabhängige Instanz für Ermittlungen in Beschwerdefällen einrichten und umgehend auf solche Beschwerden antworten; Teilnehmer müssen sich auf Forderung des EU-Bürgers einem verbindlichen Schiedsgerichtverfahren stellen, um Streitfälle zu lösen, die nicht anderweitig mittels Prozessen des Rahmenwerks behoben werden konnten.
  • Kooperation mit dem Handelsministerium: Teilnehmer müssen mit dem US-Handelsministerium kooperieren, umgehend auf Beschwerden von EU-Bürgern antworten und zu ihrer Lösung beitragen; solche Beschwerden können auch durch die lokalen Datenschutzbehörden übermittelt werden.
  • Zweckbindung: ähnlich wie bereits unter dem Safe-Harbour-Abkommen dürfen Teilnehmer nur jene personenbezogenen Daten verarbeiten, die dem ursprünglichen Zweck der Datenerhebung entsprechen (sofern anschließende Zustimmung des Individuums nicht vorliegt).
  • Weiterübermittlung: : Teilnehmer müssen vertragliche Vereinbarungen mit Drittparteien treffen, um die Einhaltung des Privacy-Shield-Rahmenwerks und seiner Prinzipien sicherzustellen, einschließlich der Einwilligung des EU-Bürgers bezüglich der Verarbeitung persönlicher Daten.
  • Zugang: EU-Bürger haben ein Recht darauf zu erfahren, ob Teilnehmer ihre personenbezogenen Daten verarbeiten; sie haben weiterhin das Recht, diese unter bestimmten Umständen zu ändern, zu korrigieren oder zu löschen (z.B. wenn die Daten nicht korrekt sind oder deren Verarbeitung den Prinzipien des Privacy Shield widerspricht).

Sobald sich eine US-amerikanische Firma dem Privacy Shield verpflichtet hat, wird dies vollstreckbar gemäß US-Gesetzgebung und bleibt einklagbar bezüglich aller personenbezogenen Daten, die während der Phase der Selbstzertifizierung verarbeitet werden, selbst wenn eine Firma dann nicht teilnimmt.

Das Privacy-Shield-Rahmenwerk verbessert die Transparenz über die Nutzung personenbezogener Daten, stärkt den Datenschutz durch die Teilnehmer, und informiert EU-Bürger umfassend über ihre Rechte im Rahmen des Programms. Dennoch bleiben Kritikpunkte bestehen. So gibt es Einwände bezüglich des ungehinderten Zugriffs auf Konsumentendaten durch Nachrichtendienste und Strafverfolgungsbehörden. Auch die Tatsache, dass das Programm jährlich überprüft wird, wirft die Frage auf, ob das Gesetz nach Gutdünken geändert werden könne oder ob es ebenso niedergeschlagen werden könne wie der Vorgänger „Safe Harbor“. Deshalb wird das EU-US Privacy Shield mit großer Wahrscheinlichkeit noch von Aktivisten in Frage gestellt werden, und Europäische Gerichte (einschließlich des Europäischen Gerichtshofs) werden sich noch ausgiebig damit auseinandersetzen müssen. Weitere Fragen rund um Datenschutz und Compliance zwischen der EU und den USA werden sich auch um die Auswirkungen des „Brexit“ sowie die Implementierung der EU Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, drehen.

Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen eine Datenschutz-Verträglichkeitsprüfung vornehmen und analysieren, welche personenbezogenen Daten gesammelt, genutzt, verarbeitet und geteilt werden. Zudem müssen sie Compliance-Lücken erkennen und in angemessener Weise beseitigen. Risikobezogene Entscheidungen müssen vorausschauend getroffen werden und den Horizont der kommenden drei Jahre in Betracht ziehen. Organisationen, die personenbezogene Daten von EU-Bürgern in die USA transferieren, müssen über Notfallmechanismen verfügen, falls sich das Szenario plötzlich verändert. Zusätzlich dazu hat die Arbeitsgruppe Datenschutz (Artikel 29) bestätigt, dass Musterverträge oder verbindliche unternehmensinterne Vorschriften weiterhin für den Transfer personenbezogener Daten von der EU in die USA genutzt werden können. Unternehmen, deren Geschäftstätigkeit einen solchen Datentransfer beinhaltet, sollten ihre Richtlinien und Verfahren vor dem Hintergrund dieser Entwicklungen überprüfen, insbesondere hinsichtlich der neuen Datenschutz-Grundverordnung, da dies nicht nur Auswirkungen auf Firmen innerhalb der EU haben wird sondern auch auf solche, die mit EU-Konsumenten Geschäfte tätigen.


     

    Das könnte sie auch noch interessieren

    © GettyImages / ChakisAtelier

    Digitalisierung spart Zeit und Kosten

    Durch Automatisierung und Digitalisierung zur effizienteren Compliance-Risikoanalyse.

    Foto: Getty Images / Westend61

    Warum Unternehmen Government-Risk-Compliance Tools brauchen

    So helfen Software-Lösungen, die geforderte Nachweis- und Dokumentationspflicht zu gewährleisten.

    Foto: Getty Images / TBE

    Auswertung beschlagnahmter VW-Unterlagen erlaubt

    Das Bundesverfassungsgericht hat entschieden: Die Unterlagen aus der internen Aufklärung der VW AG im „Diesel-Skandal“, die bei deren Rechtsanwaltskanzlei Jones Day beschlagnahmt wurden, dürfen...

    Foto: Getty Images / Eric Audras

    Die neue EU-Richtlinie zum Schutz von Whistleblowern

    Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

    Foto: Getty Images / Joseph Clark

    Technische Compliance als Schlüssel zur Effizienz

    Technische Compliance im Großanlagenbau gehört zu den am wenigsten beleuchteten Bereichen. Dabei lassen sich viele Konflikte beseitigen, wenn man die „Spielregeln“ kennt.

    Foto: Getty Images / yacobchuk

    Was erfolgreiche Compliance-Einheiten ausmacht

    Auf diese Frage liefert die aktuelle Berufsfeldstudie des Berufsverbandes der Compliance Manager (BCM) keine Antwort. Sie spiegelt aber an einigen Stellen interessante Ergebnisse zum Stand der...

    Neuen Kommentar schreiben