Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Privacy Shield auf Handy Display

EU-U.S. Privacy Shield – Errungenschaft für den Datenschutz oder faule Ausrede?

Die Übermittlung personenbezogener Daten in die USA stellt seit Jahren eine kontroverse Datenschutzproblematik dar. Wir erklären die aktuelle gesetzliche Grundlage für die Datenübermittlung auf die andere Seite des großen Teichs: den EU-U.S. Privacy Shield.

Die DSGVO schreibt vor, dass personenbezogene Daten nur dann an ein Drittland weitergegeben werden dürfen, wenn dort ein angemessenes Schutzniveau besteht (Art. 44 DSGVO). Der Datenschutz in den USA gilt nach europäischen Standards gemeinhin als unzureichend, darum dürften dorthin doch eigentlich gar keine personenbezogenen Daten übermittelt werden – oder?

Hier kommt Art. 45 DSGVO zur Hilfe, denn dieser erklärt, dass Datenübermittlungen in ein Drittland auch dann zulässig sind, wenn von der Europäischen Kommission durch einen Angemessenheitsbeschluss entschieden wurde, dass das Datenschutzniveau ausreichend ist. Dies ist die Grundlage für den EU-U.S. Privacy Shield, welcher am 1. August 2016 in Kraft trat. Wichtig ist also hier anzumerken, dass der Privacy Shield kein Abkommen ist, sondern lediglich eine Absprache zwischen den USA und der EU. Die Vereinigten Staaten sicherten gewisse Datenschutzstandards zu und die Kommission traf daraufhin im Gegenzug den sog.  Angemessenheitsbeschluss.

 

Was beinhaltet der EU-U.S. Privacy Shield?

Der Privacy Shield ermöglicht nicht jegliche Datenübermittlung in die United States, sondern bietet nur eine Grundlage für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besitzen. Dazu müssen sich amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, in eine Liste des U.S.-Handelsministerium eintragen lassen. Die Unternehmen verpflichten sich mit der Eintragung zwar dazu, die Prinzipien des Privacy Shield zu achten, es findet jedoch keine weitere Prüfung durch eine unabhängige Stelle statt, weshalb dieser Prozess häufig als Selbstzertifizierung bezeichnet wird. Die offizielle Liste aller U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben haben, finden Sie auf der offiziellen Website des Privacy Shield.

Unternehmen und andere Akteure aus der EU, die personenbezogene Daten in die USA übermitteln wollen, müssen also darauf achten, dass das U.S.-Unternehmen, an das sie Daten weitergeben möchten, in der Liste des U.S.-Handelsministeriums eingetragen ist. Wenn allerdings z.B. eine nationale Behörde ein US-amerikanisches Unternehmen als Auftragsverarbeiter nutzen möchte, ist die Privacy-Shield-Zertifizierung allein nicht ausreichend. Es muss darüber hinaus sichergestellt werden, dass das für die jeweilige Behörde geltende Datenschutzgesetz eingehalten wird.

Mit der Eintragung verpflichten sich Unternehmen hauptsächlich zu folgenden vier Prinzipien:

  • Datensparsamkeit

  • Datenverarbeitung nur mit Zweckbindung

  • Beantwortung von Beschwerden innerhalb von 45 Tagen

  • Kooperation im Falle einer Untersuchung

EU-Bürger, dessen Daten an ein U.S.-Unternehmen übermittelt wurden, haben gegenüber diesem Unternehmen folgende Rechte:

  • Recht auf Information

  • Ggf. Recht auf Widerspruch gegen eine Datenverarbeitung

  • Recht auf Auskunft

  • Recht auf Berichtigung unrichtiger Daten

  • Ggf. Recht auf Löschung

  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren

  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson

 

Kritik am Privacy Shield

Um die aktuelle Kritik am Privacy Shield besser nachvollziehen zu können, lohnt es sich einen Blick auf den Vorgänger der Vereinbarung zu werfen: Safe Harbor. Das Safe Harbor-Übereinkommen hatte das gleiche Ziel und bezog sich auf eine entsprechende Regelung der damals geltenden EU-Datenschutzrichtlinie, welche die Datenübermittlung in ein Drittland ebenfalls nur unter bestimmten Vorlagen erlaubte. Allerdings wurde Safe Harbor im Oktober 2015 vom Europäischen Gerichtshofs (EuGH) als Gefährdung für die Grundrechte europäischer Bürger eingestuft und darum für ungültig erklärt. Einer der Hauptkritikpunkte an Safe Harbor war die existierende Möglichkeit des Zugriffs der U.S.-Regierung auf personenbezogene Daten von EU-Bürgern. Durch die Gesetzgebung in den USA (etwa den USA PATRIOT Act) haben dortige Behörden alle nötigen Befugnisse dazu.

Im Zuge der Verhandlungen des Privacy Shield teilte die Europäische Kommission mit, eine schriftliche Zusicherung von der US-Regierung erhalten zu haben, dass der Zugriff auf die personenbezogenen Daten von EU-Bürgern zukünftig deutlichen Beschränkungen und Kontrollen unterliegen werde. Außerdem können Unternehmen im Gegensatz zur Zeit der Safe-Harbor-Regelung jetzt sanktioniert und aus der Liste des U.S.-Handelsministeriums gelöscht werden.

Trotz dieser Verbesserungen gibt es immer noch Punkte, die man am Privacy Shield kritisieren muss:

  • Der Privacy Shield ist weiterhin nur eine Absprache und kein Vertrag mit verbindlichen Verpflichtungen.

  • Die Privacy-Shield-Zertifizierung kommt einer Selbstzertifizierung gleich.

  • Es besteht immer noch kein ausreichender Schutz der Daten vor dem Zugriff der US-Regierung (Zusicherung ist nicht ausreichend).

  • Eine sehr weitreichende Datenerfassung ist weiterhin Praxis.

  • Dem Recht auf Information der EU-Bürger wird nicht ausreichend nachgekommen.

  • Die Folgen bei Verstößen sind häufig unzureichend und liegen oft im Ermessen der USA. 

Autorinnen: Maike Weiss und Kathrin Strauß

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

Jetzt Leitfaden herunterladen

Aktuelle Beiträge zum Thema Datenschutz