Und auch das EU-US Privacy Shield kommt…

Nach Aufhebung des Safe Harbor-Abkommens, das lange Zeit Rechtsgrundlage für Datenübermittlungen in die USA gewesen ist, war die Unsicherheit groß (vgl. Safe Harbor-Newsflash I). Diese Unsicherheit wurde noch verstärkt, als die Datenschutzbehörden auch die alternativen Rechtsgrundlagen wie die EU-Standardvertragsklauseln und Binding Corporate Rules (BCR) in Frage gestellt haben (vgl. Newsletter-Ausgabe 2-2015). Im Februar wurde dann aber als Nachfolgeabkommen zu Safe Harbor das sog. EU-US Privacy Shield vorgestellt (vgl. Safe Harbor-Newsflash II). Nach zahlreicher Kritik an dem ersten Entwurf des Abkommens wurde es zwischenzeitlich überarbeitet. Durch Beschluss der EU-Kommission vom 12. Juli 2016 ist das EU-US Privacy Shield jetzt in Kraft getreten.

Was haben Unternehmen zu erwarten, die Daten weiterhin auf Grundlage von Safe Harbor übermitteln?

Wer jetzt noch personenbezogene Daten in die USA übermittelt und auf eine Safe Harbor-Zertifizierung des Empfängers vertraut, muss mit erheblichen Bußgeldern rechnen. Die Rechtslage ist nach der Aufhebung des Safe Harbor-Abkommens durch den EuGH klar. Die Datenschutzbehörden haben mehrfach klargestellt, dass Datentransfers auf dieser Grundlage unzulässig sind.

Es verwundert daher nicht, dass die Datenschutzbehörden in der Zwischenzeit erste Bußgelder für solche Datentransfers verhängt haben. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in diesem Zusammenhang beispielsweise Bußgelder gegen die Unternehmen Unilever, Adobe und Punica ausgesprochen. Die Bußgelder bewegen sich in einem Rahmen von EUR 8.000,00 und EUR 11.000,00. Sehr wahrscheinlich werden diese Beträge in Zukunft noch steigen.

Welche Möglichkeiten ergeben sich nun mit dem EU-US Privacy Shield?

Das neue EU-US Privacy Shield-Abkommen enthält strengere Auflagen für US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, sowie die konsequente Durchsetzung dieser Auflagen. Insbesondere muss die konkret von den Unternehmen eingegangene Selbstverpflichtung veröffentlicht werden, damit diese durch die Federal Trade Commission auch durchgesetzt werden kann. Ferner werden die Regeln für die Weitergabe von Daten an Subunternehmer der US-Unternehmen, sog. „Onward Transfers“, erheblich verschärft.

Vorgesehen sind zudem klarere Schutzvorkehrungen und Transparenzpflichten bei Zugriffen durch die US-Regierung. Insbesondere wird zugesagt, zukünftig willkürliche Massenüberwachungen zu unterlassen. Um die Rechte der EU-Bürger wirksamer zu schützen, sind verschiedene Rechtsbehelfe vorgesehen. Unternehmen müssen z.B. Beschwerden innerhalb bestimmter Fristen beantworten. Ferner können die europäischen Datenschutzbehörden Beschwerden an die Federal Trade Commission weiterleiten. Schließlich wird eine Ombudsstelle für Beschwerden gegen die US-Nachrichtendienste eingerichtet.

Mit Beschluss der EU-Kommission ist das EU-US Privacy Shield jetzt in Kraft. Sehr zu begrüßen ist, dass die Kommission sämtliche Kritikpunkte der Datenschutzbehörden an dem zuerst vorgestellten Entwurf berücksichtigt hat. US-Unternehmen können sich nun ab dem 1. August 2016 zertifizieren lassen. Mit Abschluss der Zertifizierung ist das EU-US Privacy Shield sodann Rechtsgrundlage für einen Datentransfer an das jeweilige US-Unternehmen. Unabhängig davon muss aber jeder Datentransfer weiter nach nationalem Recht zulässig sein. Wer Daten an ein zertifiziertes US-Unternehmen übersenden möchte, muss also sicherstellen, dass er die Daten auch einem deutschen Unternehmen senden könnte.

Welche Besonderheiten gelten beim „Onward Transfer“?

Unter „Onward Transfers“ versteht man grundsätzlich alle Datenübermittlungen des empfangenden US-Unternehmens an Dritte. Werden die Daten an Subunternehmer weitergegeben, ist dies nur noch dann zulässig, wenn in den Subunternehmerverträgen die Umsetzung der Vorgaben des EU-US Privacy Shields garantiert ist. Soweit also die in die USA übermittelten Daten auch an andere Stellen weitergegeben werden, sollte daher bereits jetzt mit der Dokumentation der Subunternehmerbeziehungen begonnen werden. Bei entsprechenden Datenschutzverstößen in einer Verarbeitungskette ist die für die Verarbeitung der Daten verantwortliche Stelle uneingeschränkt haftbar, sofern sie sich nicht entlasten kann. Letzteres trifft jedoch in erster Linie die europäischen Unternehmen, die Daten in die USA übermitteln.

Welche Rolle spielen ab jetzt die alternativen Rechtsgrundlagen wie EU-Standardvertragsklauseln?

Wer die Möglichkeit hat, seine Datentransfers auf Grundlage des EU-US Privacy Shields zu stellen, benötigt keine alternativen Rechtsgrundlagen. Hierzu sollte allerdings genau geprüft werden, ob der Datentransfer vollständig vom EU-US Privacy Shield abgedeckt werden kann. Schließlich gilt das EU-US Privacy Shield nur für Datentransfers in die USA. Für andere Länder mit unzureichendem Datenschutzniveau wird man deshalb zwingend auf alternative Rechtsgrundlagen wie EU-Standardvertragsklauseln, Einwilligungen oder Binding Corporate Rules zurückgreifen müssen.

Es spricht bislang nichts dagegen, dass diese alternativen Rechtsgrundlagen weiter verwendet werden dürfen. Die Datenschutzbehörden hatten sich hierzu nach Aufhebung des Safe Harbor-Abkommens zwar zunächst kritisch geäußert, sich danach allerdings nicht mehr klar positioniert. Beachtlich ist, dass die EU-Standardvertragsklauseln bald ebenfalls beim EuGH auf dem Prüfstand stehen. Die irische Datenschutzaufsicht hat hierzu ein Verfahren angestrengt, das die EU-Standardvertragsklauseln als Rechtsgrundlage für internationale Datentransfers in Frage stellt. Selbst für das EU-US Privacy Shield kann keiner garantieren, dass es einer gerichtlichen Kontrolle vor dem EuGH standhält. Aus diesem Grund ist die Entwicklung im Bereich der internationalen Datentransfers ständig weiter zu beobachten. Solange der EuGH die noch bestehenden Rechtsgrundlagen aber nicht für unwirksam erklärt hat, sollten diese genutzt werden.

Welche Auswirkungen wird der Brexit haben?

Wenn Großbritannien aus der EU und dem Europäischen Wirtschaftsraum ausscheidet, gibt es für Datentransfers von der EU bzw. dem Europäischen Wirtschaftsraum nach Großbritannien kein Privileg mehr. Auch für solche Datentransfers müssten dann grundsätzlich zusätzliche Voraussetzungen erfüllt werden, z.B. durch Vereinbarung von EU-Standardvertragsklauseln mit der empfangenen Stelle in Großbritannien. Dieser Fall tritt nicht ein, wenn die EU-Kommission Großbritannien als sicheren Drittstaat für die Datenverarbeitung einstuft.

Hierzu müsste – ganz ähnlich wie bei der Verabschiedung des EU-US Privacy Shields – ein entsprechender Angemessenheitsbeschluss der EU-Kommission ergehen. In Anbetracht der bestehenden nationalen Datenschutzregeln in Großbritannien ist davon auszugehen, dass dieser Beschluss kommt. Zur berücksichtigen ist auch, dass Großbritannien noch voll in den Prozess zur Einführung der Datenschutzgrundverordnung integriert ist. Bis das Land den Austritt vollzieht, wird die Verordnung sehr wahrscheinlich bereits in Kraft getreten sein. Kurzfristig werden also keine zusätzlichen Anforderungen an Datentransfers nach Großbritannien zu stellen sein. Auf Dauer sollte man die Entwicklung dennoch weiter im Auge behalten.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iU3RhbmRvcnQgSG9mZm1hbm4gTGllYnMgfCBIb2ZnYXJ0ZW4gUGFsYWlzIETDvHNzZWxkb3JmIiB3aWR0aD0iODAwIiBoZWlnaHQ9IjQ1MCIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLW5vY29va2llLmNvbS9lbWJlZC9LTnlkT2VVZzdTUT9zdGFydD0yJmZlYXR1cmU9b2VtYmVkJnJlbD0wJmVuYWJsZWpzYXBpPTEmb3JpZ2luPWh0dHBzJTI1M0ElMjUyRiUyNTJGd3d3LmhvZmZtYW5ubGllYnMuZGUmY29udHJvbHM9MSIgZnJhbWVib3JkZXI9IjAiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlOyB3ZWItc2hhcmUiIGFsbG93ZnVsbHNjcmVlbj48L2lmcmFtZT4=
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iSG9mZm1hbm4gTGllYnMgfCBGUFYiIHdpZHRoPSI4MDAiIGhlaWdodD0iNDUwIiBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkLzVabmhIMUc4TUFBP2ZlYXR1cmU9b2VtYmVkJnJlbD0wJmVuYWJsZWpzYXBpPTEmb3JpZ2luPWh0dHBzJTI1M0ElMjUyRiUyNTJGd3d3LmhvZmZtYW5ubGllYnMuZGUmY29udHJvbHM9MSIgZnJhbWVib3JkZXI9IjAiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlOyB3ZWItc2hhcmUiIGFsbG93ZnVsbHNjcmVlbj48L2lmcmFtZT4=
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iSW1hZ2VmaWxtIEhHUCB8IEhvZmZtYW5uIExpZWJzIiB3aWR0aD0iODAwIiBoZWlnaHQ9IjQ1MCIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLW5vY29va2llLmNvbS9lbWJlZC9VOHY1ZDVMN0d1WT9mZWF0dXJlPW9lbWJlZCZyZWw9MCZlbmFibGVqc2FwaT0xJm9yaWdpbj1odHRwcyUyNTNBJTI1MkYlMjUyRnd3dy5ob2ZmbWFubmxpZWJzLmRlJmNvbnRyb2xzPTEiIGZyYW1lYm9yZGVyPSIwIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZTsgd2ViLXNoYXJlIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+