In unserem Artikel vom 28. April 2016 hatten wir noch darüber berichtet, dass der EU-US-Privacy Shield in seinem damaligen Entwurf auf große Kritik gestoßen war.
Nunmehr ist der Privacy Shield seit dem 12. Juli 2016 in Kraft und wird als freiwilliges Abkommen bereits von über 40 US-Firmen akzeptiert.
Druckversion
Inkrafttreten des Privacy Shields:
Die europäische Kommission hat mit Pressemitteilung vom 12. Juli 2016 (http://europa.eu/rapid/press-release_IP-16-2461_de.htm) offiziell mitgeteilt, dass sie den EU-US-Datenschutzschild nun angenommen habe. Der vorangegangenen Kritik an dem ursprünglichen Entwurf hat die Kommission durch weitere Klarstellungen und Verbesserungen des Entwurfs abgeholfen. Es wurden unter anderem Klarstellungen zur Erhebung von Daten, zur Stärkung der Ombudsstelle und zur Aufnahme strengerer Verpflichtungen für US-Unternehmen, um die Speicherung und Weitergabe von Daten zu beschränken, vorgenommen.
Nach Ansicht der europäischen Kommission gewährleistet der neue Datenschutzschild nun den Schutz der personenbezogenen Daten der EU-Bürger und sorgt für Rechtsklarheit für Unternehmen. Zur Sicherstellung des Datenschutzes sind folgende Grundsätze Grundlage des Datenschutzschildes:
Strenge Auflagen für Unternehmen:
Da der neue Datenschutzschild, wie zuvor auch das Safe-Harbor Abkommen, eine freiwillige Teilnahme der datenverarbeitenden US-Unternehmen voraussetzt, ist beim US-Handelsministerium eine Liste der teilnehmenden Unternehmen einsehbar. Das US-Handelsministerium wird auch regelmäßige Überprüfungen vornehmen, um sicherzustellen, dass die Unternehmen die Regeln des Privacy Shield auch einhalten. Bei Verstößen gegen diese Regeln müssen die jeweiligen Unternehmen mit Sanktionen oder mit einem Ausschluss rechnen. Da allerdings nur die Teilnahme an dem Datenschutzschild derzeit eine rechtskonforme Verarbeitung personenbezogener Daten zwischen EU- und US-Firmen gewährleistet, sind die teilnehmenden Unternehmen daran interessiert, die Regeln einzuhalten.
Klare Schutzvorkehrungen und Transparenzpflichten:
Im Rahmen des Privacy Shields haben die USA der EU zugesichert, dass es künftig keine unterschiedslose Massenüberwachung der in die USA übermittelten personenbezogenen Daten unter den Voraussetzungen des Privacy Shields mehr geben wird. Die US-Behörden dürfen auf die übermittelten personenbezogenen Daten aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit nur zugreifen, wenn sie Beschränkungen und entsprechende Schutzvorkehrungen einhalten. Diese Schutzvorkehrungen stehen jedoch noch nicht fest, sondern werden im einzelnen geregelt werden. Des Weiteren gibt es nun im US-Außenministerium eine Ombudsstelle, an die sich EU-Bürger wenden können, wenn sie den Schutz ihrer Daten, die im Bereich der nationalen Sicherheit erhoben und ausgewertet wurden, verletzt sehen.
Rechtsschutz für EU-Bürger:
EU-Bürger, die ihre Daten verletzt sehen, können sich zunächst im Rahmen einer Beschwerde an das datenverarbeitende Unternehmen wenden. Des Weiteren gibt es ein kostenloses Verfahren der alternativen Streitbeilegung vor der EU. Einzelpersonen können sich auch immer an ihre nationalen Datenschutzbehörden wenden, die zusammen mit der Federal Trade Commission den Beschwerden der Bürger abhelfen sollen. Wenn die vorgenannten Rechtsmittel nicht greifen, gibt es als letzte Möglichkeit die Durchführung eines Schiedsverfahrens.
Gemeinsame jährliche Überprüfung:
Die europäische Kommission und das US-Handelsministerium werden jährlich überprüfen, ob die seitens der USA und der US-Firmen gemachten Zusicherungen hinsichtlich des Datenzugriffs aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit auch tatsächlich eingehalten werden. An diesen Überprüfungen sollen Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden gemeinsam mitwirken. Die Ergebnisse und weitere Überprüfungen der Kommission werden sodann in einem öffentlichen Bericht dem europäischen Parlament und dem Rat vorgelegt werden.
Details zu den o. g. Grundsätzen finden Sie in den Originaltexten: http://ec.europa.eu/justice/data-protection/files/annexes_eu-us_privacy_shield_en.pdf
Bürgerleitfaden:
Zudem hat die EU zwischenzeitlich einen Leitfaden für EU-Bürger (http://ec.europa.eu/justice/data-protection/document/citizens-guide_en.pdf) erstellt, in dem die einzelnen Rechtsbehelfe erläutert werden.
Liste der teilnehmenden US-Unternehmen.
Beim US-Handelsministerium kann die Liste der teilnehmenden Unternehmen eingesehen werden (https://www.privacyshield.gov/list).
Nachdem die Anmeldung zur Teilnahme der US-Unternehmen bisher nur schleppend verlief, sind nunmehr die ersten Unternehmen in der Liste eingetragen. Darunter befinden sich mittlerweile auch Großunternehmen wie Microsoft, Dropbox, Google, Oracle USA und Software AG USA.
Fazit:
Es bleibt nun abzuwarten, ob die Regelungen des Privacy Shields auch tatsächlich umgesetzt werden. Daher ist mit Spannung der erste Überprüfungsbericht der EU-Kommission zu erwarten.
Ob die Kritiker des nunmehr verabschiedeten Entwurfs des Privacy Shields nun demnächst auch dieses Abkommen vom EuGH gerichtlich überprüfen lassen werden, ist ebenfalls fraglich.
Im Übrigen kann Unternehmen, die personenbezogene Daten in die USA übermitteln, nur empfohlen werden, sich künftig Partnerunternehmen auszusuchen, die am Privacy Shield teilnehmen bzw. das aktuelle Partnerunternehmen bei der Umsetzung des Privacy Shields zu unterstützen. Zumindest ist für datenverarbeitende Unternehmen nunmehr eine neue Rechtsgrundlage für eine rechtswirksame Übermittlung personenbezogener Daten in die USA geschaffen worden.
Falls Sie Fragen zum Datenschutzrecht haben, können Sie uns gerne kontaktieren.
Wir helfen Ihnen schnell und kompetent.
Ihr Ansprechpartner für weitere Fragen ist:
Rechtsanwältin Daniela Wagner-Schneider LL.M.
Fachanwältin für Gewerblichen Rechtsschutz
WAGNER Rechtsanwälte webvocat® - Small.Different.Better
