Datentransfer unter dem EU – U.S. Privacy Shield

Seit 12. Juli 2016 ist der Transfer personenbezogener Daten von der Europäischen Union (EU) über den Atlantik durch ein neues Datenschutzabkommen geregelt. Nachdem das Safe-Harbor-Abkommen im Oktober 2015 außer Kraft gesetzt wurde, einigten sich die Europäische Kommission und das US-Handelsministerium jetzt auf die Nachfolgevereinbarung. Neil Watkins, Senior Vice President Global Security, Risk, Compliance & Privacy bei Epiq Systems, rät betroffenen Unternehmen, sich rechtzeitig mit dem neuen Regelwerk auseinandersetzen, um dem neuen Normenkatalog zu entsprechen.

„

Wie schon der Vorgänger Safe Harbor basiert auch das Privacy Shield auf dem Prinzip der EU-Datenschutzrichtlinie (95/46/EC). Diese besagt unter anderem, dass persönliche Daten nur dann von einem Mitgliedstaat in ein Land außerhalb der EU transferiert werden dürfen, wenn dort ein angemessenes Niveau an Datenschutz gewährleistet ist. US-amerikanische Firmen hatten noch bis zum 01. August 2016 Zeit, die Anforderungen des neuen Regelwerks zu überprüfen, bevor sie sich registrierten und gemäß dem Privacy Shield selbst zertifizierten. Bis April 2017 läuft eine neunmonatige Schonfrist, um die Compliance-Anforderungen umzusetzen, die von Neil Watkins, Senior Vice President Global Security, Risk, Compliance & Privacy bei Epiq Systems im Folgenden näher beleuchtet werden.

Die Anforderungen an die teilnehmenden Unternehmen umfassen unter anderem die „Bekanntmachung“, im Zuge derer Teilnehmer ihre Datenschutzrichtlinien überprüfen, aktualisieren und öffentlich zugänglich machen müssen. Auch müssen sie sich dazu verpflichten, den Anforderungen des Privacy Shield zu entsprechen. Des Weiteren berechtigt die „Streitbeilegung“ EU-Bürger, deren Daten von teilnehmenden Unternehmen verarbeitet werden, direkt bei einem Teilnehmer Beschwerde einzulegen, der innerhalb von 45 Tagen darauf antworten muss. Außerdem sind teilnehmende Unternehmer verpflichtet, eine unabhängige Instanz für Ermittlungen in Beschwerdefällen einzurichten und umgehend auf Beschwerden zu antworten. Wird dies von dem EU-Bürger gefordert, müssen Teilnehmer sich einem verbindlichen Schiedsgerichtverfahren stellen, um Streitfälle zu lösen, die nicht anderweitig beigelegt werden können.

Ein weiterer Punkt der Compliance-Anforderungen betrifft die „Kooperation mit dem Handelsministerium“. Teilnehmer müssen mit dem US-Handelsministerium kooperieren und umgehend auf Beschwerden von EU-Bürgern reagieren; diese können auch durch die lokalen Datenschutzbehörden übermittelt werden. Auch die „Zweckbindung“ ist nicht neu und ähnelt Safe Harbor. Konkret müssen Teilnehmer die Sammlung personenbezogene Daten auf das limitieren, was dem ursprünglichen Zweck der Verarbeitung entspricht (sofern anschließende Zustimmung des Individuums nicht vorliegt). Die „Weiterübermittlung“ betrifft vertragliche Vereinbarungen der teilnehmenden Unternehmen mit Drittparteien, um die Einhaltung des Privacy-Shield-Rahmenwerks standortunabhängig sicherzustellen. Der „Zugang“ gewährt EU-Bürgern das Recht, Informationen einzuholen, die anzeigen, ob Teilnehmer ihre personenbezogenen Daten verarbeiten. Besorgte Bürger dürfen diese Daten unter bestimmten Umständen ändern, korrigieren oder löschen (z.B. wenn die Daten nicht korrekt sind oder in Verletzung des Privacy Shield verarbeitet werden).

Sobald sich eine US-amerikanische Firma dem Privacy Shield verpflichtet hat, wird diese Verpflichtung gemäß US-Gesetzgebung vollstreckbar und bleibt einklagbar bezüglich jeglicher personenbezogener Daten die während der Phase der Selbstzertifizierung verarbeitet werden, selbst wenn eine Firma dann doch nicht teilnimmt. Obwohl die Angemessenheitsentscheidung der EU-Kommission über das EU – U.S. Privacy Shield einen Meilenstein bei der Vereinheitlichung der Regelungen zum Datenschutz zwischen der EU und den USA darstellt, gibt es dennoch Kritikpunkte. Das Privacy Shield wird mit großer Wahrscheinlichkeit von Aktivisten angefochten werden, und Europäische Gerichte (einschließlich des Europäischen Gerichtshofs) werden sich noch ausgiebig damit auseinandersetzen müssen. Weitere offene Fragen bezüglich Datenschutz und Compliance zwischen der EU und den USA drehen sich um die Auswirkungen des „Brexit“ sowie die Implementierung der EU Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt.

Firmen, die persönliche Daten von EU-Bürgern verarbeiten, müssen eine Datenschutz-Verträglichkeitsprüfung vornehmen und analysieren, welche persönlichen Daten gesammelt, genutzt, verarbeitet und geteilt werden. Zudem müssen sie Compliance-Lücken erkennen und in angemessener Weise beseitigen. Vorausschauende risikobezogene Entscheidungen müssen deshalb den Horizont der kommenden drei Jahre in Betracht ziehen. Betroffene Firmen sollten einen robusten Plan für den Transfer personenbezogener Daten von EU-Bürgern implementieren, der eingebaute Notfallmechanismen enthält, falls sich die rechtliche Situation plötzlich ändert. Die Arbeitsgruppe Datenschutz (Artikel 29) hat bestätigt, dass die EU-Standardvertragsklauseln und die Binding Corporate Rules weiterhin Gültigkeit besitzen und als Rahmenwerk für den Transfer persönlicher Daten von der EU in die USA genutzt werden können. Firmen, deren Tätigkeit einen solchen Datentransfer beinhaltet, sollten ihre Richtlinien und Verfahren vor dem Hintergrund dieser Entwicklungen überprüfen, insbesondere hinsichtlich der neuen Datenschutz-Grundverordnung, da dies nicht nur Auswirkungen auf Firmen innerhalb der EU haben wird, sondern auch auf solche, die mit EU-Konsumenten Geschäfte tätigen.

„