Datenübermittlung per EU-US Privacy Shield?

Ob im Zusammenhang mit dem Social-Media-Kanal Facebook, dem Messenger WhatsApp oder dem Videokonferenzanbieter Zoom: Personenbezogene Daten werden meist in den USA, also außerhalb der EU-Staaten, in denen primär die DSGVO gilt, verarbeitet. Die Datenübermittlung in sogenannte Drittländer ist nur zulässig, wenn die Rechte der betroffenen Personen an ihren personenbezogenen Daten durch geeignete Garantien geschützt sind, Art. 44 ff. DSGVO. Die Verantwortung für die datenschutzrechtliche Zulässigkeit trägt das Unternehmen in der EU, das die Daten exportiert. Daher ist es für in der europäische Unternehmen wichtig, wie sicher die Datenweitergabe an die USA  per EU-US Privacy Shield ist.

Was ist unter dem EU-US Privacy Shield zu verstehen?

Für Unternehmen aus den USA gibt es seit 2016, nachdem der Europäische Gerichtshof (EuGH) den zuvor geltenden Safe Harbor-Beschluss für rechtswidrig erklärt hatte, den sogenannten EU-US Privacy Shield (zu Deutsch: Datenschutzschild). Im Gegensatz zur DSGVO der EU ist dies jedoch kein allgemeingütiges Regelwerk. Vielmehr ist es eine Selbstverpflichtung von Unternehmen in den USA. Dazu hat die Europäische Kommission einen Angemessenheitsbeschluss getroffen. Dieser besagt, dass Daten in dem bestimmten Drittland (hier die USA) ähnlich gut geschützt sind wie in der EU. Ohne diesen Beschluss dürfen personenbezogene Daten den durch die DSGVO gewährten Schutzbereich nicht ohne weiteres verlassen. Der Angemessenheitsbeschluss ist daher eine deutliche Erleichterung für den Datenexport.

Wie funktioniert der Privacy Shield?

US-amerikanischen Unternehmen ist es freigestellt, eine sogenannte Zertifizierung zu beantragen. Es handelt sich dabei nicht um eine unabhängige, externe Prüfung, sondern um eine Selbstverpflichtungserklärung. Die Unternehmen erklären damit gegenüber dem Handelsministerium, sich an bestimmte Grundsätze und Standards zur Verarbeitung von personenbezogenen Daten zu halten. Dies gilt als Nachweis für die Erfüllung der Anforderungen an das Schutzniveau für die Verarbeitung von personenbezogenen Daten. Zusammengefasst ergeben alle Selbstverpflichtungserklärungen der Unternehmen eine Liste, die online abrufbar ist. Ist die Zertifizierung einmal erfolgt, können bei Nichtbeachtung der Regelungen Sanktionen gegenüber den Unternehmen erfolgen. Als letztes Mittel können sie aus der Liste der zertifizierten Unternehmen entfernt werden. Dies führte bisher allerdings nicht dazu, dass beispielsweise Facebook, bekannt für seinen mangelhaften Datenschutz, diese Zertifizierung entzogen wurde. Daher ist fraglich, wie sicher die Datenweitergabe an die USA trotz dieses Nachweises wirklich ist.

Des Weiteren regelt der Privacy Shield verschiedene Betroffenenrechte, die weitestgehend denen der DSGVO entsprechen. So ist auch ein Beschwerderecht vorgesehen. Anliegen betroffener Personen muss das jeweilige Unternehmen innerhalb von 45 Tagen beantworten. Hält sich ein Unternehmen nicht an die Vorgaben des Privacy Shields, so kann die betroffene Person mit einer Beschwerde dagegen vorgehen. Die zertifizierten Unternehmen sind verpflichtet, unabhängige Stellen dafür einzurichten. Ähnlich wie bei Verstößen gegen die DSGVO kann eine solche Beschwerde aber auch den Datenschutzaufsichtsbehörden der Länder oder aber dem Bundesbeauftragten für Datenschutz und Informationssicherheit mitgeteilt werden. Als letzte Möglichkeit kann ein Schiedsverfahren eröffnet werden.

Wie ist der Privacy Shield einzuschätzen?

Der EuGH hatte in der Schrems-Entscheidung das Fehlen von effektivem Rechtsschutz für EU-Bürger in den USA bemängelt. Dieser Kritik sind die USA mit dem Privacy Shield nur ein Stück weit entgegengekommen. Unter anderem deshalb kritisiert das EU-Parlament das Abkommen. Eine neue Klage vor dem EuGH ist bereits anhängig.

Ebenso besteht weiterhin die Möglichkeit der Überwachung durch US-amerikanische Behörden sowie die Regierung. Dies ermöglicht der sogenannte Cloud Act, der US-Behörden den Zugriff auf sämtliche gespeicherte Daten, auch bei Standorten von US-Unternehmen in der EU, garantiert. Außerdem spricht der Cloud Act der US-Regierung u. a. das Recht zu, Daten von Servern, die sich in der EU befinden, an US-Sicherheitsbehörden weiterzugeben.

Demzufolge sind personenbezogene Daten bei der Weitergabe an Unternehmen mit Sitz in den USA trotz des Privacy Shields nicht vor unbefugter Verarbeitung geschützt. Die Datenweitergabe an die USA ist infolgedessen nicht als sicher einzustufen. Wer sich daher bei seinen Überlegungen zur IT-Architektur auf den Privacy Shield verlässt, baut praktisch auf Sand und sollte immer einen Plan B in der Hinterhand haben. So sind organisatorische Maßnahmen wie Datenminimierung, alternative Anbieter oder technische Maßnahmen wie die Verschlüsselung der Daten zu prüfen.

Der Weg zur sicheren Datenweitergabe in Drittstaaten

Beim Drittstaatentransport muss eine zweistufige Prüfung erfolgen:

  1. Es ist zu prüfen, ob die Datenverarbeitung überhaupt zulässig ist.
  2. Sodann ist fraglich, ob und unter welchen Dokumentationsvoraussetzungen die Datenverarbeitung in Drittstaaten wie den USA zulässig ist. Dabei kann es erforderlich sein, Verträge zur Auftragsvereinbarung, zur gemeinsamen Verantwortung oder EU-Standardvertragsklauseln für den Datenexport abzuschließen.

___________________________________________________________________

Update (16.07.2020):

Wie bereits erwähnt, lag bereits eine Klage gegen den EU-US Privacy Shield vor. Heute hat der EuGH entschieden, dass auch dieses Abkommen zwischen der EU und den USA nicht den Anforderungen des europäischen Datenschutzstandards entspricht, und es gekippt (zur Pressemitteilung). Damit können sich europäische Unternehmen, die Daten in die USA übermitteln, ab sofort nicht mehr risikofrei auf diese Rechtsgrundlage stützen. Es läge eine unrechtmäßige Datenverarbeitung vor. Unternehmen, die einem möglichen Bußgeld aus dem Weg gehen möchten, können stattdessen sogenannte Standardvertragsklauseln verwenden. Diese sind nach Ansicht des EuGHs zulässig.

Nun ist in vielen Unternehmen Handeln gefordert. Wenn Sie auch künftig rechtssicher Daten verarbeiten wollen, melden Sie sich bei der dpc Data Protection Consulting GmbH. Wir unterstützen Sie dabei.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.