R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB-Standpunkte
01.08.2016
BB-Standpunkte
Tim Wybitul/Dr. Lukas Ströbel: „Privacy Shield“ beschlossen – Was sind die Auswirkungen auf die Praxis?

Am 12.7.2016 hat die Europäische Kommission per Adäquanzbeschluss den sogenannten „Privacy Shield“ als Rechtsrahmen für den Transfer personenbezogener Daten zwischen den USA und der EU in Kraft gesetzt. Dies wirft für den Praktiker viele Fragen auf, zu denen dieser Standpunkt erste Hinweise gibt.

1.     Was ist der „Privacy Shield“?

Bisher war das im Jahr 2000 ausgehandelte „Safe Harbor“-Abkommen eine mögliche Grundlage für transatlantischen Datentransfer. Nachdem der EuGH diese Option im Oktober letzten Jahres aufgrund unzureichenden Schutzes der personenbezogenen Daten von EU-Bürgern außer Kraft gesetzt hatte, gab es zwischen der EU und den USA intensive Verhandlungen über ein Nachfolgeabkommen. Das Ergebnis dieser Verhandlungen liegt nun mit dem „Privacy Shield“ vor.

Ähnlich wie „Safe Harbor“ beruht auch der „Privacy Shield“ auf dem Prinzip einer freiwilligen Zertifizierung von Unternehmen, mit welcher das US-Handelsministerium diesen bestätigt, die durch das Abkommen geforderten Prinzipien erfolgreich umgesetzt zu haben. Die in „Privacy Shield“ umgesetzten Prinzipien gewährleisten inhaltlich und verfahrensrechlich ein deutlich höheres Schutzniveau als das vorherige Abkommen.

2.     Für wen gilt „Privacy Shield“?

Genau wie bei „Safe Harbor“ können sich alle U.S.-Unternehmen, die dem Zuständigkeitsbereich der Federal Trade Commission oder des U.S. Verkehrsministeriums unterfallen, auf „Privacy Shield“ berufen. Diese Unternehmen können sich ab dem 1.8.2016 online beim U.S. Handelsministerium zertifizieren lassen. Mit der Zertifizierung wird den Unternehmen die Einhaltung eines dem EU-Datenschutz entsprechenden Schutzniveaus bestätigt, was für eine Übermittlung personenbezogener Daten an diese Unternehmen erforderlich ist. Von europäischen Unternehmen wird künftig die Umsetzung der Datenschutzgrundverordnung erwartet.

3.     Welche Prinzipien setzt „Privacy Shield“ voraus?

Unternehmen müssen sich unter „Privacy Shield“ sieben Prinzipien unterwerfen. Diese ähneln denen des „Safe Harbor“-Abkommens. Jedoch wurde jedes der Prinzipien in wichtigen Punkten gestärkt.

-       Informationspflicht

-       Wahlmöglichkeit

-       Verantwortung bei Weitergabe

-       Sicherheit

-       Datenintegrität und Zweckgebundenheit

-       Zugangsrecht

-       Regress, Durchsetzung und Haftung

4.     Was ist vor einer Zertifizierung zu beachten?

Um nachzuweisen, dass sie die Prinzipien des Abkommens einhalten, müssen Unternehmen verschiedene Prozesse durchführen, u. a.:

-       Durchführung einer internen Compliance-Beurteilung, ob das Unternehmen den Informationspflichten nachkommen kann. Sollte dies nicht möglich sein, muss das Unternehmen zunächst entsprechende interne Kontrollen, Richtlinien und Prozesse einführen.

-       Registrierung bei einem unabhängigen Schiedsgericht zur Handhabung von Beschwerden von EU-Bürgern, denen das Unternehmen nicht selbst vollständig nachkommt.

-       Erarbeitung und Veröffentlichung einer Datenschutzerklärung, die Aussagen zu vorher festgelegten Details über den Umgang des Unternehmens mit Daten enthält.

5.     Was sind die Vorteile einer Zertifizierung nach „Privacy Shield“?

Zertifizierte Unternehmen ermöglichen es ihren europäischen Handelspartnern und Tochtergesellschaften, rechtmäßig Daten in die USA zu transferieren. Nach europäischem Datenschutzrecht ist dies nur möglich, wenn ein adäquates Schutzniveau der transferierten Daten sichergestellt ist. Hier knüpft der „Privacy Shield“ an.

Seit das „Safe Harbor“-Abkommen außer Kraft gesetzt wurde, haben viele Unternehmen den Datentransfer in die USA mit Hilfe von Standardvertragsklauseln und komplexen, individuellen Vereinbarungen geregelt. „Privacy Shield“ kann diese individuellen Regelungen ersetzen und vereinfachen.

Zudem erleichtert der „Privacy Shield“ auch den Datenaustausch mit anderen zertifizierten Unternehmen. Nicht zuletzt zeigt ein Unternehmen durch die Übernahme der Prinzipien seinen Geschäftspartnern, (potentiellen) Kunden, Verbrauchern und den Aufsichtsbehörden deutlich, dass es Datenschutz ernst nimmt.

6.     Was sind die Risiken einer Zertifizierung nach dem „Privacy Shield“?

Unternehmen, die sich zertifizieren lassen, riskieren, wegen unfairen und irreführenden Wettbewerbs belangt zu werden, wenn sie nicht alle Prinzipien des „Privacy Shield“ umgesetzt haben. Angesichts der öffentlichen Diskussion über das Abkommen ist damit zu rechnen, dass zertifizierte Unternehmen als Erste im öffentlichen Fokus stehen werden und die Einhaltung der Prinzipien umfassend überwacht werden wird. Daher ist es enorm wichtig, dass Unternehmen vor einer Zertifizierung eine Compliance-Bewertung vornehmen.

Zudem stärkt das Abkommen die Rechtshilfemöglichkeiten von EU-Bürgern. Zertifizierte Unternehmen, müssen daher vermehrt mit Beschwerden und Abhilfeverlangen rechnen.

7.     Was ist Unternehmen mit einem „Safe Harbor“-Zertifikat zu raten?

„Safe Harbor“-zertifizierte Unternehmen sollten rasch handeln. Sie sollten in Betracht ziehen, sich auch nach „Privacy Shield“ zertifizieren zu lassen. Dabei ist jedoch zu beachten, dass „Privacy Shield“ weitergehendere Verpflichtungen beinhaltet. Eine vorherige Compliance-Überprüfung bezüglich der neuen Anforderungen ist daher unabdingbar.

Auch nach dem Ende von „Safe Harbor“ müssen Unternehmen in Bezug auf Daten, die sie unter Anwendung dieses Abkommens erlangt haben, zumindest die Prinzipien von „Safe Harbor“ einhalten, bis die entsprechenden Daten gelöscht oder anonymisiert sind.

8.     Wird „Privacy Shield“ rechtlich angefochten?

Ja. Erste öffentliche Äußerungen von Datenschutzaktivisten zeigen klar, dass auch der „Privacy Shield“ vor dem EuGH angefochten werden wird, da insbesondere Bedenken bezüglich einer weiterhin durch die U.S.-Regierung erfolgenden Überwachung bestehen.

Bis zu einer möglichen Entscheidung des EuGH wird es allerdings Monate, wenn nicht gar Jahre dauern. Auch dann ist offen, wie sich der EuGH entscheiden wird. Eine ausführliche Untersuchung kam im März 2016 zu dem Ergebnis, dass „Privacy Shield“ die vom EuGH festgelegten Kriterien erfüllt (abrufbar unterhttp://www.hldataprotection.com/2016/03/articles/international-eu-privacy/hogan-lovells-issues-authoritative-legal-analysis-of-the-eu-u-s-privacy-shield/).

Tim Wybitul, RA/FAArbR, ist Partner im Frankfurter Büro von Hogan Lovells. Wybitul ist im Beirat des Betriebs-Berater und des Compliance-Berater (CB) und Autor des ebenfalls in der dfv Mediengruppe, Fachbereich Recht und Wirtschaft in 2. Auflage erscheinenden Praxishandbuchs „Datenschutz im Unternehmen“ in der Schriftenreihe des Betriebs-Beraters.

Dr. Lukas Ströbel, ist Rechtsreferendar im Frankfurter Büro von Hogan Lovells. Seine Tätigkeitsschwerpunkte liegen in den Bereichen Datenschutz, Compliance und Arbeitsrecht.

 

 

stats