Wir haben bereits in der Vergangenheit über das Abkommen EU-US Privacy Shield zwischen der USA und Europa berichtet und auch kritische Aspekte benannt. Die Vereinbarung hat mittlerweile das Rechtsetzungsverfahren der EU durchlaufen und trat am 12.07.2016 in Kraft.
Inhalte des EU-US Privacy Shields
Unternehmen, für die der Anwendungsbereich des EU-US Privacy Shield eröffnet ist, müssen Betroffene vor einer beabsichtigten Datenerhebung informieren und ihnen deren Grund mitteilen. Außerdem sind den Betroffenen ihre rechtlichen Möglichkeiten aufzuzeigen. Bei sensiblen Daten ist eine ausdrückliche Zustimmung des Betroffenen von Nöten („Notice and Choice“). Eine Weiterleitung von Daten an Drittunternehmen ist nur unter Einhaltung der europäischen Angemessenheitsanforderungen möglich („Onward Transfer“).
Bei einer Auftragsdatenverarbeitung müssen US-Amerikanische Unternehmen demnach die europäischen Datenschutzregeln beachten. Dies gilt auch für Arbeitnehmerdaten, die Unternehmen innerhalb eines Konzerns übermitteln (ZD 2016, 209, 210). US-Unternehmen die Beschäftigtendaten aus der EU erhalten, müssen dies konkret angeben und ihre Datenschutzrichtlinie an das US-Handelsministerium übermitteln. Auch müssen sie sich verpflichten, den Empfehlungen der europäischen Datenschutzbehörden unverzüglich nachzukommen (NZA 2016, 405, 406). Des Weiteren hat die US-Regierung der EU-Kommission schriftlich zugesichert, dass es in Europa nur zu einer massehaften Datensammlung kommen kann, wenn die gezielte Überwachung einer einzelnen Person nicht möglich ist und es sich um eine Bedrohung der „nationalen Sicherheit“ handelt oder aus Gründen der Rechtsdurchsetzung. Die nationale Sicherheit ist insbesondere bei Terrorismus, Spionage, Massenvernichtungswaffen, Bedrohung durch das Militär und transnationalen kriminellen Bedrohungen gefährdet. Möchte ein EU-Bürger gegen eine unrechtmäßige Überwachung vorgehen, muss er sich an die unabhängige Ombudsstelle im US-Außenministerium wenden und sich dort beschweren. Die Ombudsperson prüft den Fall und entscheidet über einen Gesetzesverstoß seitens der USA. Allerdings hat diese Ombudsperson bisher keine wirkliche Handlungsvollmacht gegen Verstöße.
Die USA und die EU haben vereinbart das Privacy Shield einmal jährlich durch die EU-Kommission und das US-Handelsministerium überprüfen zu lassen und eventuell anzupassen, wenn der Fortschritt der Technik, das Recht oder Praktiken der Datenverarbeitung dies erfordern. Die Kommission hat dem Parlament und dem Rat ein öffentliches Dokument darüber vorzulegen. Auch sichert die Vereinbarung zu, nationalen Datenschutzbehörden in ihrer Tätigkeit nicht einzuschränken.
Wie sich Unternehmen auf das Privacy Shield berufen können
Für die sichere Durchführung eines transatlantischen Datentransfers in die USA müssen sich US-Unternehmen zunächst über eine Selbstzertifizierung zur Einhaltung der im Privacy Shield festgelegten Prinzipien verpflichten. Das Zertifizierungsverfahren ähnelt dabei stark dem des Safe Habor Abkommens. Begleitet wird das US-Unternehmen während dieses Verfahrens vom US-Handelsministerium (Department of Commerce – DOC). Das Ministerium stellt im Internet eine Liste mit zertifizierten Unternehmen bereit, die auch öffentlich einsehbar ist. Von dieser Liste streicht das DOC Unternehmen, die ihre Zertifizierung nicht erneuern oder fortdauernd die Prinzipien verletzen. Ausreichend dürfte diese Maßnahme allein nicht sein. Der Düsseldorfer Kreis stellte bereits in einem Beschluss vom 28./29. April 2010 zum Safe Habor Abkommen zwei Punkte auf, nachdem die Selbstzertifizierung zu beurteilen sei. Zunächst sollte die zuständigen Stellen die Gültigkeit der Zertifizierung regelmäßig überprüfen. Des Weiteren sollten die US-Unternehmen nachweisen, dass sie ihre Informationspflichten gegenüber den Betroffenen einhalten. Diesbezüglich forderte der Düsseldorfer Kreis auch eine entsprechende Dokumentation. Momentan debattieren die nationalen Aufsichtsbehörden über das weitere Vorgehen. Solange sich diese nicht zu Änderungen hinsichtlich der Zertifizierung äußern, sollten die genannten Prüfungspunkte auch auf das Privacy Shield Abkommen Anwendung finden.
Alternativen zur Ermöglichung eines Datentransfers in die USA
Da viele kritische Stimmen das Datenschutzniveau des EU-US Privacy Shield für unzureichend halten und sich deshalb mit hoher Wahrscheinlichkeit eine gerichtliche Überprüfung durch den Europäischen Gerichtshof (EuGH) anbahnt, sollten Unternehmen auf zusätzliche Alternativen zurückgreifen. Die erste Möglichkeit zur rechtssicheren Übermittlung personenbezogener Daten in einen Drittstaat, ohne angemessenes Schutzniveau, bietet eine Einwilligung des Betroffenen (Art. 26 I a DSRL; § 4 c I, 1 Nr. 1 BDSG). Allerdings betrachten Datenschutzbehörden Einwilligungen meist kritisch. Die Datenschutzbehörden des Bundes und der Länder erklärten z. B. das Datentransfer, der auf einer Einwilligung beruht, nicht „wiederholt, massenhaft und routinemäßige“ erfolgen dürfe und innerhalb von Arbeitsverhältnissen nur ausnahmsweise möglich sei. Außerdem kann der Betroffene seine Einwilligung jederzeit widerrufen. Eine andere Möglichkeit bietet die Nutzung von EU-Standardklauseln. Nach Art. 26 II DSRL; § 4c II BDSG ist die Übermittlung von Beschäftigtendaten oder personenbezogenen Daten möglich, wenn der Schutz der Daten ausreichend garantiert ist. Diese Garantien sind zumeist in vertraglichen Vereinbarungen zwischen den Parteien enthalten. Die EU-Kommission hat bereits ein Set verschiedener EU-Musterverträge bestimmt, die ausreichende Garantien enthalten. Praktisch sind diese äußerst relevant. Allerdings ist der Düsseldorfer Kreis der Meinung, diese Klauseln seien keine ausreichende Grundlage für die Übermittlung von Beschäftigtendaten (NZA 2016, 405, 407). Die letzte Option sind die Binding Corporate Rules (BCR), welche insbesondere für die konzerninterne Datenübermittlung in Drittstaaten relevant sind (Art. 26 II DSRL; § 4c II, 1 BDSG). BCRs verpflichten die Parteien gewisse Datenschutzstandards zu gewährleisten und sind verglichen mit Standardvertragsklauseln individueller gestaltbar. Die Art. 29-Datenschutzgruppe hat inhaltliche Anforderungen der BCRs definiert, die ein angemessenes Schutzniveau bieten (NZA 2016, 405, 408).
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht