Update Datenschutz Nr. 12
Neues EU-US-Datenschutzschild („Privacy-Shield“) in Kraft getreten
Mit Datum vom 12.07.2016 hat die EU-Kommission das Verfahren zur Annahme des neuen EU-US-Datenschutzschilds („Privacy-Shield“) abgeschlossen. Das Privacy-Shield ist damit nach monatelangen Verhandlungen in Kraft getreten und soll das umstrittene, vom EuGH im vergangenen Jahr für unwirksam erklärte Safe-Harbour Abkommen ersetzen. Ziel des neuen Privacy-Shields ist die Schaffung eines neuen, verbesserten Schutzrahmens für den Austausch von personenbezogenen Daten aus der Europäischen Union in die USA.
1. Mit Urteil vom 06.10.2015 hat der EuGH in seinem Safe-Harbor-Urteil (Rechtssache C-362/14) den Transfer von personenbezogenen Daten von europäischen Unternehmen in die USA auf Grundlage des Safe-Harbor-Abkommens für ungültig erklärt. In der Folge bestanden bei Unternehmen erhebliche Unsicherheiten, auf welche Art und Weise ein rechtskonformer Transfer von personenbezogenen Daten gewährleistet werden kann. Dieser Umstand wurde in verschiedenen Mitgliedstaaten noch verschärft, da die dortigen Datenschutzaufsichtsbehörden in der Zwischenzeit dazu übergingen, Bußgelder gegen einzelne Unternehmen zu erlassen, die ihren Datentransfer nicht oder nicht rechtzeitig rechtskonform angepasst hatten (wir berichteten von einem entsprechenden Vorgehen seitens der Hamburgischen Datenschutzaufsichtsbehörde im Update Datenschutz 11/2016).
2. Durch das Privacy-Shield steht Unternehmen in der Europäischen Union nun, neben den weiterhin zur Verfügung stehenden Standardvertragsklauseln und verbindlichen Unternehmens-regelungen („Binding Corporate Rules“ – BCR), eine weitere Möglichkeit bereit, personenbezogene Daten rechtskonform in die USA zu transferieren.
3. Voraussetzung für einen Datentransfer auf Grundlage des Privacy-Shields ist eine entsprechende Registrierung eines Unternehmens sowie die Erklärung, dass die rechtlichen Anforderungen des Privacy Shields beim Transfer von personenbezogenen Daten eingehalten werden. Hierbei handelt es sich um eine Vielzahl an Voraussetzungen, welche im Gegensatz zum Safe-Harbor Abkommen teilweise deutlich verschärft wurden. Hinzukommen verstärkte Aufsichts- und Kontrollmechanismen (siehe zu diesem Themenkomplex unser Update Datenschutz 06/2016). Dazu gehört etwa, dass die Selbsterklärung eines Unternehmens jedes Jahr erneut werden muss und die Einhaltung der Privacy-Shield Grundsätze vom zuständigen US-Handelsministerium kontinuierlich überwacht werden soll. Entsprechend sind die registrierten Unternehmen dazu verpflichtet, sicherzustellen, dass der Datentransfer stets im vollen Einklang mit den Regeln des Privacy-Shields erfolgt.
4. Ob das Privacy-Shield tatsächlich den von der EU-Kommission gewünschten Erfolg bringen wird bleibt abzuwarten. Aus Sicht von verschiedenen Verbänden und Datenschützern bestehen nach wie vor erhebliche Kritikpunkte an dem Abkommen und es ist zu erwarten, dass das Privacy-Shield, ähnlich wie das Safe-Harbor-Abkommen, in absehbarer Zeit von dem EuGH geprüft werden wird. Inwiefern das neue Abkommen dann einer solchen Prüfung standhalten wird, ist nicht abzusehen. Angesicht der stark anhaltenden Kritik, sind hier jedenfalls Zweifel angebracht.
5. Für Unternehmen gilt somit, dass das Privacy-Shield zwar grundsätzlich eine wirksame Grundlage für den Datentransfer in die USA darstellt. Soweit eine Übermittlung von personenbezogenen Daten in die USA aktuell aber bereits auf Grundlage der Standardvertragsklauseln oder Binding Corporate Rules erfolgt, sollte dieser Rahmen beibehalten werden. Unternehmen, die wiederum erstmalig mit einem Transfer von personenbezogenen Daten und dessen rechtlicher Ausgestaltung in Berührung kommen, sollten sich jedoch genau überlegen, ob angesichts der unsicheren Zukunft ein Rückgriff auf das Privacy-Shield aktuell sinnvoll erscheint.
6. Zu beachten ist außerdem, dass nur Datentransfers von der Europäischen Union in die USA erfasst werden. Datentransfers in andere Drittländer können damit nicht legitimiert werden.