14.07.2016

EU-US Privacy Shield – was hat sich im Vergleich zu Safe Harbor geändert?

Portrait von Paul Voigt
Paul Voigt Rechtsanwalt und Fachanwalt für Informationstechnologierecht im Berliner Büro der internationalen Wirtschaftskanzlei Taylor Wessing

Am 12. Juli 2016 hat die Europäische Kommission ihre das „EU-US Privacy Shield“ implementierende Kommissionsentscheidung C(2016) 4176 der Öffentlichkeit präsentiert (ausführlich dazu "Das finale Privacy Shield und die 'Star Trek Parallele'", CRonline News v. 12.7.2016). Beim Privacy Shield handelt es sich um den Nachfolger des Safe Harbor Abkommens, welches vom Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 6. Oktober 2015 (C-362/14, Schrems, CR 2016, 633 m.Anm. Härting) für unwirksam erklärt wurde. Die neue Angemessenheitsentscheidung der Europäischen Kommission soll dafür Sorge tragen, dass dem Privacy Shield unterworfene Unternehmen in den USA als Datenempfänger mit (aus europäischer Sicht) angemessenem Datenschutzniveau angesehen werden. Die Übermittlung personenbezogener Daten aus der Europäischen Union bzw. dem EWR in die USA, welche gem. §§ 4b, 4c BDSG, Art. 25, 26 der Datenschutzrichtlinie 95/46/EG nur unter besonderen Voraussetzungen zulässig ist, soll dadurch deutlich vereinfacht werden.

Obwohl das Privacy Shield bereits vielfach von europäischen Datenschutzexperten kritisiert wurde und mit hoher Wahrscheinlichkeit in naher Zukunft gerichtlich angegriffen werden wird, stellt das Regelwerk zumindest bis zum Zeitpunkt einer etwaigen negativen Entscheidung des EuGH einen wirksamen Mechanismus dar, um den Datenaustausch zwischen europäischen und US-amerikanischen Unternehmen zu legitimieren.

US-amerikanische Unternehmen, die vom Privacy Shield Gebrauch machen wollen, haben ab August 2016 die Möglichkeit, sich im Rahmen einer Selbstzertifizierung den Prinzipien des Privacy Shields zu unterwerfen:

Privacy Shield Principles

Der überwiegende Teil der dem Privacy Shield zugrunde liegenden Prinzipien war bereits Bestandteil des Safe Harbor Abkommens. Allerdings wurden einige Anforderungen verschärft und erweitert, sodass das Privacy Shield im Ergebnis strengere Anforderungen an die Empfängerunternehmen im transatlantischen Datenverkehr stellt als sein Vorgänger (wenngleich die Gleichwertigkeit der Privacy Shield Pinzipien mit europäischem Datenschutzrecht nach wie vor bezweifelt wird: Max Schrems, Statement of 12 July 2016.

  1. Informationspflichten

Die unter dem Privacy Shield geltenden Informationspflichten sind für die zertifizierten US-Unternehmen strenger als unter Safe Harbor. Während Safe Harbor lediglich die Mitteilung generischer Informationen über die Datenverarbeitungsvorgänge, wie etwa zum Zweck der Datenverarbeitung, zu Datenempfängern und den Wahlmöglichkeiten der Betroffenen verlangte, sind die Informationspflichten im EU-US Privacy Shield spezifischer gefasst und verlangen Informationen zu folgenden 13 Themenbereichen:

  • Die Beteiligung des Unternehmens am Privacy Shield;
  • Die Art der erhobenen personenbezogenen Daten und weitere die empfangenen Daten potenziell verarbeitende Gesellschaften innerhalb desselben Konzerns, welche sich ebenfalls dem Privacy Shield unterwerfen;
  • Die verbindliche Zusage, alle aus der Europäischen Union empfangenen personenbezogenen Daten entsprechend der Privacy Shield Grundsätze zu behandeln;
  • Die Datenerhebungs- und Datenverarbeitungszwecke;
  • Kontaktmöglichkeiten;
  • Dritte, an die personenbezogene Informationen weitergegeben werden sowie die Zwecke, zu denen dies geschieht;
  • Das Recht der Betroffenen, Zugang zu den sie betreffenden personenbezogenen Daten zu verlangen;
  • Die Möglichkeiten und Mittel, die das Unternehmen den Betroffenen anbietet, um die Nutzung oder Weitergabe der sie betreffenden personenbezogenen Daten zu begrenzen;
  • Die Möglichkeit der Inanspruchnahme einer unabhängigen Schlichtung;
  • Die Tatsache, dass das Unternehmen US-Aufsichtsbehörden untersteht;
  • Die Möglichkeit für den Betroffenen, unter bestimmten Bedingungen ein schiedsgerichtliches Verfahren vor dem sog. „Privacy Shield Panel“ anzustrengen;
  • Die Verpflichtung des Unternehmens, auf Anfragen von öffentlichen Behörden hin personenbezogene Daten preiszugeben;
  • Die Haftung des Unternehmens für Datenübermittlungen an Dritte
  1. Wahlmöglichkeit

Der Grundsatz der Wahlmöglichkeit der Betroffenen bleibt im Vergleich zu den bisher geltenden Safe Harbor Regeln weitestgehend unverändert. Hiernach müssen die Betroffenen die Möglichkeit haben, die Nutzung ihrer Daten in Bezug auf bestimmte Verarbeitungsprozesse zu verweigern (sog. „Opt-Out“), beispielsweise wenn personenbezogene Daten an Dritte weitergegeben oder zu einem wesentlich anderen Zweck verwendet werden sollen als dem, zu welchem sie ursprünglich erhoben wurden. In Bezug auf die Verarbeitung sensibler Daten verlangt der Grundsatz der Wahlmöglichkeit die ausdrückliche Zustimmung des Betroffenen (sog. „Opt-In“).

  1. Weitergabe

Erheblich höhere Anforderungen gelten in Bezug auf die Weitergabe der personenbezogenen Daten. Insbesondere sind betroffene Unternehmen dazu verpflichtet, mit etwaigen weiteren Datenempfängern Vereinbarungen abzuschließen, in denen die entsprechenden Datenempfänger sich zu einem mit den Privacy Shield Prinzipien vergleichbaren Datenschutzniveau verpflichten. Auch bei der Einschaltung von Auftragsdatenverarbeitern sind Datenverarbeitungsverträge zu schließen.

  1. Sicherheit

Die Sicherheitsanforderungen unter dem Privacy Shield bleiben im Vergleich zu Safe Harbor weitestgehend unverändert. Es sind angemessene Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu treffen.

  1. Datenintegrität

Die Grundsätze der Datenintegrität und der Zweckbindung bleiben überwiegend unverändert, enthalten jedoch eine wesentliche Zusatzverpflichtung: Unter dem Safe Harbor Abkommen waren die betroffenen Unternehmen verpflichtet, die Daten nicht in einer Weise zu verarbeiten, die mit dem ursprünglichen Erhebungszweck oder einem später mit dem Betroffenen vereinbarten Zweck unvereinbar ist. Das Privacy Shield verlangt von den US-Unternehmen nun zusätzlich, dieser Zweckbindung Folge zu leisten, solange die Unternehmen die entsprechenden Daten speichern – also auch für den Fall, dass sie ihre Selbstverpflichtung zur Einhaltung der Privacy Shield Prinzipien nicht mehr aufrecht erhalten möchten.

  1. Auskunftsrecht

Der Grundsatz des Auskunftsrechts für Betroffene bleibt im Wesentlichen unverändert: Die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie gegebenenfalls berichtigen, ergänzen oder löschen zu lassen.

  1. Durchsetzung

Die Verpflichtung zur Einrichtung von Regress-, Durchsetzungs- und Haftungsmechanismen wurde im Vergleich zu Safe Harbor erheblich verschärft und um neue Mechanismen ergänzt: Betroffene haben das Recht, Beschwerden direkt bei unabhängigen Schlichtungsstellen beziehungsweise – sofern Personaldaten verarbeitet werden oder das jeweilige Unternehmen sich der Aufsicht durch die europäischen Datenschutzbehörden (freiwillig) unterworfen hat – den europäischen Datenschutzbehörden einzureichen. Das US-Handelsministerium wird sich Beschwerden bezüglich der Nichteinhaltung der Privacy Shield Regeln annehmen. Überdies steht den Betroffenen nunmehr als letzter Ausweg offen, schiedsgerichtliche Verfahren vor einem „Privacy Shield Panel“ anzustrengen, welches mit mindestens 20 vom US-Handelsministerium und von der Europäischen Kommission ernannten Schiedsrichtern besetzt ist.

 

Zurück