Privacy Shield

Datenübermittlung in Drittstaaten: Privacy Shield und Standardvertragsklauseln

Mit Gründer-News vom 17.10.2017 hatten wir darüber berichtet, dass der irische Gerichtshof (High Court) entschieden hat, eine Klage gegen die Rechtmäßigkeit sogenannter Standardvertragsklauseln, die Grundlage für den internationalen Datenaustausch sind, dem Europäischen Gerichtshof (EuGH) weiterzuleiten.

Das Urteil der EU-Richter könnte sich auch negativ auf das Privacy Shield auswirken, mit dem die rechtlichen Grundlagen für den Datenaustausch mit den USA geschaffen wurden.
Denn sollten die Standardvertragsklauseln als nicht ausreichend angesehen werden, wissen Unternehmen nicht, wie sie die Übermittlung personenbezogene Daten aus der EU in Drittstaaten rechtssicher  gestalten können.
Hinzu kommt, dass die auf den Prüfstand gestellten Standardvertragsklauseln eine wichtige Rolle in der europäischen Datenschutz-Grundverordnung (DS-GVO) spielen, die ab dem 25. Mai 2018 noch detaillierter als die bislang geltende Datenschutz-Richtlinie regelt, unter welchen Umständen personenbezogene Daten aus der EU in Drittstaaten übermittelt werden dürfen.

EU-Kommission legt ersten Überprüfungsbericht zum Privacy Shield vor

Zwischenzeitlich hat die EU-Kommission ihren ersten Überprüfungsbericht zum Privacy Shield zur Übermittlung personenbezogener Daten in die USA vorgelegt.
Sie kommt darin zum Ergebnis, dass der Privacy Shield ein angemessenes Datenschutzniveau für die Übertragung personenbezogener Daten an teilnehmende US-Unternehmen gewährleistet und den Anforderungen entspricht, die der EuGH im „Safe-Harbor-Urteil” aufgestellt hat.
Die US-Behörden hätten Strukturen und Verfahren geschaffen, um eine ordnungsgemäße Funktion des Privacy Shield sicherzustellen. Bislang seien mehr als 2400 Unternehmen vom US-Handelsministerium zertifiziert worden.

Gleichzeitig stellt die EU-Kommission fest, dass die praktische Umsetzung des Privacy Shield weiter verbessert werden kann. Vor diesem Hintergrund gibt sie Empfehlungen ab, mit denen sichergestellt werden soll, dass der Privacy Shield weiterhin wie beabsichtigt funktioniert.

Hierunter fallen insbesondere folgende Aspekte:

  • Unternehmen sollen sich erst dann auf die Privacy Shield-Zertifizierung berufen können, wenn das US-Handelsministerium die Zertifizierung abgeschlossen und das Unternehmen auf die Privacy Shield-Liste aufgenommen hat.
  • Das US-Handelsministerium soll die Einhaltung der Datenschutzpflichten proaktiv und regelmäßig überprüfen, u.a. im Hinblick auf Unternehmen, die falsche Angaben über ihre Mitwirkung am Privacy Shield machen.
  • Die Aufsichtsbehörden sollen in Zusammenarbeit mit der EU-Kommission ihre Anstrengungen im Hinblick auf die Information der in der EU ansässigen Personen über ihre Rechte verstärken.
  • Das US-Handelsministerium, die Datenschutzaufsichtsbehörden und die Federal Trade Commission sollen Hilfestellungen zur Auslegung des Privacy Shield ausarbeiten.
  • Die EU-Kommission will eine Studie zur Bedeutung der automatisierten Entscheidungsfindung für Übermittlungen in Auftrag geben, die auf der Grundlage des Privacy Shield erfolgen.
  • Die US-Behörden werden aufgefordert, schnellstmöglich eine ständige Ombudsperson zu benennen.

 

Die EU-Kommission kündigt an, dass sie diese Empfehlungen in den nächsten Monaten mit den US-Behörden thematisieren wird.
Nähere Informationen zur ersten Überprüfung des Privacy Shield können Sie hier abrufen.

Hintergrund der Entscheidung des High Court

Der EuGH soll nach dem Willen des irischen High Court über die Rechtmäßigkeit von Standardvertragsklauseln zur Übermittlung von personenbezogenen Daten in die USA entscheiden.
Hintergrund ist ein Verfahren zu den Standardvertragsklauseln, das der Österreicher Max Schrems angestoßen hat.
Facebook Irland übermittelt seine personenbezogenen Daten an Facebook Inc. in die USA. Dies geschieht auf der Grundlage von Standardvertragsklauseln.
Schrems wandte sich an die für Facebooks Europazentrale zuständige irische Datenschutzaufsichtsbehörde mit einer Beschwerde über den Schutz seiner personenbezogenen Daten in den USA.
Er forderte die Behörde auf, Facebook auf der Grundlage von Artikel 4 des Beschlusses der EU-Kommission über Standardvertragsklauseln (2010/87/EU) zu untersagen, Daten in die USA zu übermitteln.
Dem kam die Aufsichtsbehörde nicht nach, sondern klagte vor dem irischen High Court mit dem Ziel, den EuGH mit der Frage zu befassen, ob drei Kommissionsentscheidungen bzw. -beschlüsse zu Standardvertragsklauseln (2001/497/EG; 2004/915/EG, 2010/87/EU) im Hinblick auf die Datenübermittlung in die USA rechtsgültig sind.Der irische High Court hat sich den Bedenken der irischen Datenschutzaufsichtsbehörde angeschlossen, dass kein wirksamer Rechtsschutz im US-Recht für EU-Bürger vorgesehen sei, deren Daten durch Dienstleister in die USA übermittelt würden, wo sie der Gefahr ausgesetzt seien, von US-Behörden verarbeitet zu werden.Dies könne nach Art. 7, 8 und 47 der EU-Grundrechtecharta unvereinbar mit europäischem Recht sein. Die Datenschutzvorgaben müssten in der EU einheitlich angewendet werden.
Deshalb müsse der Fall dem europäischen Gerichtshof vorgelegt werden.

Eine Kurzfassung der Entscheidung des High Court finden Sie hier.

Quelle: Bundesverband der Deutschen Arbeitgeber (BDA)

2017-10-29

Print Friendly, PDF & Email