Drum prüfe, wer sich an US-Anbieter bindet

Das neue Privacy Shield

Safe Harbor 2.0: Was ist beim Nachfolgeabkommen „EU-US Privacy Shield“ zu beachten?

  • eter Huppertz ist Fach­anwalt für Informationstechnologierecht und Partner der Kanzlei Hoffmann Liebs Fritsch & Partner in Düsseldorf.

    Der Autor Peter Huppertz ist Fach­anwalt für Informationstechnologierecht und Partner der Kanzlei Hoffmann Liebs Fritsch & Partner in Düsseldorf.

  • Safe Harbor 2.0: Was ist beim Nachfolgeabkommen „EU-US Privacy Shield“ zu beachten?

Die EU-Kommission hat im Februar ihre Pläne für das „Safe-Harbor“-Nachfolgeabkommen „EU-US Privacy Shield“ vorgestellt. Es soll die hohen Anforderungen des Europäischen Gerichtshofs (EuGH) an die Übermittlung von personenbezogenen Daten in die USA umsetzen. Vertreter der europäischen Datenschutzaufsichtsbehörden (sog. Artikel-29-Datenschutzgruppe) haben allerdings noch Mitte April das Privacy Shield kritisiert und Nachbesserungsbedarf angemeldet. Es bleibt abzuwarten, inwieweit diese Bedenken im Rahmen der anstehenden Entscheidung der EU-Kommission berücksichtigt werden.

Das Safe-Harbor-Abkommen war fast 15 Jahre lang als Rechtsgrundlage für die datenschutzkonforme Übermittlung personenbezogener Daten von EU-Bürgern in die USA anerkannt. Mit Urteil vom 6. Oktober 2015 hat der EuGH das Safe-Harbor-Abkommen für ungültig erklärt und dies u.a. damit begründet, dass das Abkommen nur für die dem Abkommen beigetretenen Unternehmen gilt, nicht aber für amerikanische Behörden wie z.B. US-Nachrichtendienste. Daher könne durch Safe Harbor kein angemessenes Datenschutzniveau für in die USA übermittelte europäische Daten gewährleistet werden.

Inhalte des neuen Abkommens


Das neue Privacy-Shield-Abkommen enthält nun strengere Auflagen für US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, sowie die konsequente Durchsetzung dieser Auflagen. Insbesondere muss die konkret von den Unternehmen eingegangene Selbstverpflichtung veröffentlicht werden, damit diese durch die Federal Trade Commission auch durchgesetzt werden kann. Ferner werden die Regeln für die Weitergabe von Daten an Subunternehmer der US-Unternehmen (Onward Transfers) erheblich verschärft; diese soll nur dann noch zulässig sein, wenn in den Subunternehmerverträgen die Umsetzung der Vorgaben des Privacy Shield garantiert ist.

Vorgesehen sind zudem klarere Schutzvorkehrungen und Transparenzpflichten bei Zugriffen durch die US-Regierung. Insbesondere wird zugesagt, zukünftig willkürliche Massenüberwachungen zu unterlassen. Um die Rechte der EU-Bürger wirksamer zu schützen, sind verschiedene Rechtsbehelfe vorgesehen. Unternehmen müssen z.B. Beschwerden innerhalb bestimmter Fristen beantworten. Ferner können die europäischen Datenschutzbehörden Beschwerden an die Federal Trade Commission weiterleiten. Schließlich wird eine Ombudsstelle für Beschwerden gegen die US-Nachrichtendienste eingerichtet.

Reaktion der Datenschutzbehörden


Nach Feststellung der Unwirksamkeit von Safe Harbor haben die deutschen Behörden zunächst festgestellt, dass jegliche Übermittlung von personenbezogenen Daten zu hinterfragen ist. Für Datenübermittlungen in die USA auf Grundlage des Safe-Harbor-Abkommens wurde zudem angekündigt, dass diese umgehend untersagt werden. Für Übermittlungen auf Grundlage der EU-Standardvertragsklauseln oder bereits genehmigter Binding Corporate Rules hatten die Behörden zugesagt, hiergegen bis Ende Januar 2016 nicht aktiv vorzugehen. Diese Frist ist nunmehr abgelaufen. Mangels eindeutiger Aussagen der Behörden ist zurzeit unklar, ob die „Stillhaltefrist“ quasi stillschweigend bis zum Inkrafttreten des EU-US Privacy Shield verlängert wurde.

Was sollten Unternehmen jetzt tun?


Zunächst sollte jedes Unternehmen kurzfristig prüfen, ob es Daten in die USA übermittelt. Hierbei sind nicht nur offensichtliche Fälle betroffen wie die Nutzung von amerikanischen Cloud- und Hosting-Providern. Auch Provider aus dem europäischen Wirtschaftsraum sollten daraufhin geprüft werden, ob sie Daten in den USA speichern oder dort jedenfalls eine Zugriffsmöglichkeit auf die Daten eröffnen.

Dies ist vor allem dann angezeigt, wenn die Provider amerikanische Unterauftragnehmer haben oder Konzernbeziehungen in die USA bestehen. Außerdem ist grundsätzlich jeder betroffen, der Analyse-Tools wie Google Analytics nutzt, denn zu den personenbezogenen Daten gehören nach Ansicht der Datenschutzbehörden regelmäßig auch die IP-Adressen der Webseiten-Besucher. Daher ist es ratsam, selbst kleinere Webseiten- und Marketing-Tools in die Prüfung miteinzubeziehen.

Haftung bei Datenschutzverstößen


Für die identifizierten Übermittlungen sollten umgehend die EU-Standardvertragsklauseln mit dem Empfängerunternehmen in den USA vereinbart werden. Diese von der Europäischen Kommission veröffentlichten Standardverträge werden zur Sicherung eines angemessenen Datenschutzniveau für die Übermittlung von Daten an Empfänger in unsichere Drittstaaten akzeptiert.

Soweit in die USA übermittelte Daten auch an weitere Stellen weitergegeben werden (sog. „Onward Transfers“), sollte aufgrund des nach Inkrafttreten des EU-US Privacy-Shield-Abkommens zu erwartenden Aufwands bereits jetzt mit der Dokumentation der Subunternehmerbeziehungen begonnen werden. Bei entsprechenden Datenschutzverstößen in einer Verarbeitungskette ist die für die Verarbeitung der Daten verantwortliche Stelle uneingeschränkt haftbar, sofern sie sich nicht entlasten kann. Letzteres trifft jedoch in erster Linie die europäischen Unternehmen, die Daten in die USA übermitteln.

Bevor das Privacy Shield als Rechtsgrundlage für zukünftige Datenübermittlungen gelten kann, muss die EU-Kommission noch den nach EU-Datenschutzrecht erforderlichen „Angemessenheitsbeschluss“ treffen, um dem Privacy Shield rechtliche Wirkung zu verleihen. Stand heute ist damit zu rechnen, dass dieser Angemessenheitsbeschluss voraussichtlich erst im Sommer diesen Jahres erfolgen wird.

Bis dahin bleibt die Rechtslage zur Übermittlung von personenbezogenen Daten in die USA weiterhin unklar. Solange das EU-US Privacy Shield nicht in Kraft ist, müssen die betroffenen Unternehmen abwägen, ob sie weiterhin Daten in die USA übermitteln möchten. Lautet die Antwort ja, ist dies gegenwärtig nur auf Grundlage der EU-Standardvertragsklauseln möglich. Unabhängig davon können Unternehmen noch über die Implementierung zusätzlicher technisch-organisatorischer Maßnahmen (z.B. Verschlüsselung, Anonymisierung) versuchen, die Rechtsrisiken zu minimieren. 

Bildquelle: Thinkstock / DigitalVision

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok