Besonders internationale Konzerne, aber auch kleinere und mittelständische Unternehmen mit Geschäftsbeziehungen in die USA stehen oftmals vor der Frage, wie ein rechtmäßiger Transfer von personenbezogenen Daten in die USA erfolgen kann.
Durch die Verabschiedung des EU-US-Privacy Shields durch die EU-Kommission stehen für Unternehmen nun grundsätzlich wieder zwei Wege zur Verfügung, um einen solchen Datenaustausch in rechtskonformer Weise zu bewerkstelligen.
Der nachfolgende Beitrag beleuchtet die Hintergründe des Übereinkommens und gibt wichtige Hinweise für eine mögliche Ausgestaltung des transatlantischen Datenverkehrs.
EU-US-Privacy Shield: Neue Datenschutzvereinbarung mit den USA
Die EU-Kommission hat am 12.07.2016 die Neuregelung zum Datenaustausch mit den USA, das sog. EU-US-Privacy Shield (im Folgenden: Privacy Shield), verabschiedet und damit eine neue rechtliche Grundlage für den transatlantischen Datenverkehr geschaffen. Die neuen Privacy Shield-Grundsätze sind seit dem 01.08.2016 anwendbar. Seit diesem Zeitpunkt können sich Unternehmen beim US-Handelsministerium für die Aufnahme in die Privacy Shield-Liste registrieren und sich eine entsprechende Bescheinigung ausstellen lassen.
Diese Neuregelung war notwendig geworden, nachdem der Europäische Gerichtshof (EuGH) am 06.10.2015 das Vorgängerabkommen „Safe Harbour“ für ungültig erklärt hatte (Urteil vom 06.10.2015, Az. C-362/14)
Die Ereignisse im Vorfeld
Nach europäischem Datenschutzrecht darf eine Übermittlung personenbezogener Daten in ein Land außerhalb des Europäischen Wirtschaftsraums nur erfolgen, soweit sichergestellt ist, dass in diesem Land ein „angemessenes Datenschutzniveau“ herrscht. Dies wurde und wird seitens der EU-Kommission im Hinblick auf die USA verneint.
Um Unternehmen den Datentransfer aus einem europäischen Land in die USA dennoch zu ermöglichen wurde ein besonderes Verfahren der Selbstzertifizierung entwickelt. US-Unternehmen konnten sich gegenüber dem US-Handelsministerium verpflichten, die weitgehend den Grundsätzen des europäischen Datenschutzrechts entsprechenden Safe-Harbour-Prinzipien zu befolgen. Durch die Safe-Harbor-Entscheidung vom 26.07.2000 hatte die Europäische Kommission anerkannt, dass bei den Unternehmen, die diese Zertifizierung durchgeführt haben, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe.
Die Safe-Harbour-Zertifizierung wurde dabei schon früh von Datenschützern kritisiert, da eine ausreichende Überwachung der Selbstverpflichtung nicht stattfinde. Im Zuge der Snowden-Enthüllungen, durch welche u.a. aufgedeckt wurde, dass US-Behörden wie die NSA jederzeitigen Datenzugriff nehmen können, verschärfte sich die Kritik weiter. Mit dem Urteil des EuGH vom 06.10.2015 ist die am häufigsten herangezogene Rechtsgrundlage für die Legitimierung des Datentransfers in die USA nach Ablauf der Schonfrist zum Februar 2016 weggefallen.
Datenschutzbehörden verhängen Bußgelder
Unternehmen waren daher in der Pflicht, ihre Datenflüsse zu überprüfen und ggf. auf eine neue Rechtsgrundlage zu stellen. Einzelne Datenschutzbehörden sind bereits tätig geworden und haben nach Ablauf der Übergangsfrist Bußgelder gegen Unternehmen verhängt, die sich trotz der neuen Rechtslage noch auf die alten Safe-Harbour-Regeln berufen haben.
Privacy Shield als neue Grundlage für den transatlantischen Datenverkehr
Aufgrund der Entscheidung des EuGH zur Unwirksamkeit von Safe Harbour bestand akuter Handlungsbedarf. Die EU-Kommission und die US-Regierung haben daher in der Folge das Privacy Shield Übereinkommen ausgehandelt. Ziel der EU-Kommission war es dabei, mit dem Privacy Shield eine rechtssichere Grundlage für den Datentransfer in die USA zu schaffen. Das Privacy Shield stellt wie Save Harbour ein System der Selbstzertifizierung durch die teilnehmenden Unternehmen dar, sieht allerdings strengere Regelungen vor:
Eine gemeinsam von der Europäischen Kommission und dem US-Handelsministerium durchgeführte jährliche Überprüfung soll die Funktionsweise des Privacy Shield überwachen. Auch wurden verschiedene Optionen zur Sicherung des Rechtsschutzes der EU-Bürger wie Ombudsstellen und Schiedsverfahren eingerichtet. Darüber hinaus soll die massenhafte Sammlung von Daten in den USA „nur unter bestimmten Voraussetzungen“ möglich sein. Die USA sichern zu, dass ein Datenzugriff nur zum Schutz der nationalen Sicherheit oder aus Gründen der Rechtsdurchsetzung unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen erfolgen soll.
Einige Datenschutzbehörden und Vertreter der Art. 29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Datenschutzangelegenheiten) äußerten sich dennoch bis zuletzt kritisch. So wird unter anderem darauf hingewiesen, dass eine tatsächliche Handlungsmacht der Ombudsstelle im Falle von Verstößen gegen das Privacy Shield nicht gegeben sei. Zudem handele es sich bei der Zusicherung zur Einschränkung der Massenüberwachung lediglich um eine Absichtsbekundung ohne Gesetzesrang. Hiervon unabhängig seien die bestehenden Befugnisse weit auslegbar.
Zweifel an der Erreichung eines angemessenen Datenschutzniveaus bleiben daher weiterhin bestehen. Es ist folglich zum jetzigen Zeitpunkt fraglich, ob mit dem Privacy Shield eine dauerhafte Lösung für den Datentransfer in die USA geschaffen wurde. Verschiedene Stellen haben bereits angekündigt, das Privacy Shield gerichtlich überprüfen lassen zu wollen.
EU-Standardvertragsklauseln als Alternative zur Ermöglichung eines Datentransfers in die USA?
Die Europäische Kommission hat 2001 das Instrument der EU-Standardvertragsklauseln entwickelt. Die EU-Standardvertragsklauseln sind Verträge zur Übermittlung von personenbezogenen Daten in Länder ohne angemessenes Datenschutzniveau, wie eben den USA. Die EU-Standardvertragsklauseln werden gerade nach dem EuGH-Urteil zu Safe Harbor von Unternehmen häufig als Basis für Datenübermittlungen in die USA verwendet.
Im Vergleich zu Safe Harbour bzw. dem Privacy Shield haben sie den Nachteil, dass sie als gesonderte Vereinbarung unterzeichnet und unverändert übernommen werden müssen. Vor der Datenübermittlung ist daher ein gewisser Zeitaufwand für das Ausfüllen sowie für die Unterzeichnung einzukalkulieren.
Auch ist zu beachten, dass die irische Datenschutzaufsicht am 25.05.2016 angekündigt hat, eine rechtliche Überprüfung der Standardvertragsklauseln vorzunehmen und eine Vorlage an den EuGH zu initiieren. Soweit dies so umgesetzt wird, müsste der EuGH auch über die Wirksamkeit der Standardvertragsklauseln entscheiden.
Fazit
Rechtlich gesehen handelt es sich bei dem Privacy Shield um einen rechtsverbindlichen Beschluss der EU-Kommission. Dieser kann daher für die Zeit seines Bestehens auch als taugliche Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden.
Die Interessen von Unternehmen dürften allerdings dahin gehen, eine beständige und dauerhaft tragfähige Lösung für den Datentransfer in die USA zu finden. Vor diesem Hintergrund müssen die weiteren Entwicklungen abgewartet werden. Der Abschluss der EU-Standardvertragsklauseln erscheint aber – trotz der wohl bevorstehenden Überprüfung durch den EuGH – auch weiterhin empfehlenswert.
Generell ist Unternehmen zu raten, im Rahmen der strategischen Planungen auch datenschutzrechtliche Aspekte zu berücksichtigen und sich beispielsweise bei der Auswahl von Dienstleistern auch darüber zu informieren, ob sich der Serverstandort innerhalb der EU befindet bzw. ob gegebenenfalls auch eine anonymisierte Datenübermittlung in Frage kommt.
Weiterführende Informationen
Kontakt:
Zentrale zur Bekämpfung unlauteren Wettbewerbs
Frankfurt am Main e.V.
Tina Weigand
Landgrafenstr. 24 B
61348 Bad Homburg
Telefon: 06172-121537
Telefax: 06172-84422
E-Mail: weigand @wettbewerbszentrale.de
Stand: 11.10.2016
Weitere aktuelle Nachrichten
-
BGH verhandelt über Klage der Wettbewerbszentrale zur Plattformhaftung von Amazon
-
EuGH: Mitbewerber sind klagebefugt nach DS-GVO
-
Wettbewerbszentrale beanstandet unerlaubte Bewertungsaufforderungen
-
OLG Nürnberg: Referenzpreis muss unschwer zu ermitteln sein
-
Wettbewerbszentrale moniert Blickfangwerbung auf Tierfutterverpackungen als irreführend