Datenschutz verstehen – Privacy Shield
- Das EU-US Privacy Shield ist eine Absprache mit den USA, welche europäischen Unternehmen eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA schafft.
- Das EU-US Privacy Shield unterstützt damit europäische Unternehmen, die bei der Übermittlung von personenbezogenen Daten in ein Drittland sicherstellen müssen, dass die Daten ein Mindestmaß an Schutzniveau genießen.
- Jedes US-amerikanische Unternehmen muss sich zur Teilnahme am EU-US Privacy Shield qualifizieren. Diese werden dann auf der Privacy Shield-Liste der Webseite des US-Handelsministeriums veröffentlicht.
- Die Zertifizierung eines US-amerikanischen Unternehmens muss jährlich erneuert werden.
- EU-Bürger können ihre Betroffenenrechte geltend machen. US-amerikanische Unternehmen haben innerhalb von 45 Tagen entsprechend zu antworten.
- Die Absprache des Privacy Shields wird immer wieder seitens der EU-Kommission überprüft und gewährleistet auch bezüglich der DSGVO ein angemessenes Schutzniveau von personenbezogenen Daten.
Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.
Update: Das Privacy Shield ist nicht länger gültig.
Erfahren Sie hier alle aktuellen Informationen.
Viele der führenden Anbieter im Bereich der Digitalisierung rund um den Arbeitsplatz stammen aus den Vereinigten Staaten. Daher ist es für europäische Unternehmen von sehr großer Bedeutung, dass personenbezogene Daten mit den USA ausgetauscht werden dürfen. Ob Microsoft, Google, Atlassian oder Facebook, Unternehmen müssen ein geeignetes Schutzniveau von personenbezogenen Daten zusichern. Erfahren Sie im Folgenden Beitrag, welche amerikanischen Anbieter Sie als europäisches Unternehmen beauftragen dürfen.
USA Datenschutz
Im Gegensatz zu Deutschland und anderen europäischen Mitgliedsstaaten, gibt es in den Vereinigten Staaten kein einheitliches Datenschutz-Gesetz. Vielmehr herrschen spezielle Regelungen für die US-amerikanischen Branchen. So kommt es, dass zum Beispiel der Finanzsektor eigene Datenschutz-Vereinbarungen getroffen hat, wie auch das Gesundheitswesen in den USA. Klassischerweise bestehen die branchenspezifischen Regelungen zum Datenschutz in den USA aus sogenannten Selbstverpflichtungen der Unternehmen, der jeweiligen Branche. Mit dieser Form der Selbstverpflichtung, garantieren US-amerikanische Unternehmen ein angemessenes Schutzniveau der personenbezogenen Daten von Kunden, Lieferanten und Mitarbeitern. Problematisch ist nur, dass die Selbstverpflichtungen von jedem Unternehmen selbst gestaltet werden können.
Der maßgeblich entscheidende Unterschied des Datenschutzes in den USA im Vergleich zu dem Datenschutz in Europa, ist die Tatsache, dass die USA Datenschutz nicht als Grundrecht ansieht. In den USA wird der Bereich Datenschutz zu dem Verbraucherschutzrecht klassifiziert. Das ist auch der Grund dafür, dass in Kalifornien seit 2018 der CCPA verabschiedet worden ist.
Was ist das EU-US Privacy Shield?
Europäische Unternehmen müssen bei der Übermittlung von personenbezogenen Daten in ein Drittland sicherstellen, dass die personenbezogenen Daten ein Mindestmaß an Schutzniveau genießen. Tun sie das nicht, und es tritt durch die Übermittlung eine Datenpanne auf, gilt die DSGVO als verletzt. Dies ist unbedingt zu vermeiden, da das Unternehmen sonst teilweise empfindliche Strafen auferlegt bekommen kann. Wie oben beschrieben gilt aber in Drittländern, also außerhalb der EU, die DSGVO nicht. Durch die nicht allgemein geregelte Gesetzeslage in den USA musste eine Rechtsgrundlage geschaffen werden wie europäische Unternehmen und US-amerikanische Unternehmen personenbezogenen Daten übermitteln können. Ursprünglich wurde vor diesem Hintergrund die Safe-Harbor-Absprache vereinbart, welches allerdings im Oktober 2015 als ungültig erklärt worden ist, durch ein EuGH-Urteil.
Das EU-US Privacy Shield ist eine Absprache, welche auf Zusicherungen seitens der USA beruht, die im Gegenzug den Angemessenheit-Beschluss der Europäischen Kommission ermöglichen. Das Privacy Shield gilt seit dem 12. Juli 2016 und bietet europäischen Unternehmen eine Grundlage für die Übermittlung von personenbezogenen Daten in die USA.
Wie tritt ein Unternehmen dem Privacy Shield bei?
Jedes US-amerikanische Unternehmen muss sich durch eine Selbstzertifizierung qualifizieren und zusichern, dass die Prinzipien des Data Privacy Shield eingehalten werden. Für eine Berechtigung zur Selbstzertifizierung unter dem Privacy Shield muss ein in den USA ansässiges Unternehmen den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission („FTC“) oder des Verkehrsministeriums („Department of Transportation („DoT“) unterliegen.
Für Informationen über die Registrierung US-amerikanischer Tochtergesellschaften europäischer Unternehmen für die Aufnahme in die Liste des EU-US Privacy Shields, müssen Sie sich beim US-Handelsministerium registrieren.
Die Zusicherung dieser Prinzipien besteht beispielsweise auf die Beachtung der Datensparsamkeit und die Zweckbindung bei der Verarbeitung von personenbezogenen Daten der europäischen Bürger. Sofern die Selbstzertifizierung erfolgreich absolviert worden ist, wird das Unternehmen auf eine Liste des US-Handelsministeriums eingetragen. Zusätzlich verpflichtet sich das US-amerikanische Unternehmen zur Kooperation im Bereich des Datenschutzes mit dem US-Handelsministeriums. Denn die EU-Bürger können ebenfalls Ihre Rechte der Betroffenen geltend machen. Die Unternehmen in den USA müssen dann innerhalb von 45 Tagen eine entsprechende Antwort liefern.
Wie ist das EU-US Privacy Shield unter der DSGVO zu bewerten?
Die Absprache des Privacy Shields ist bereits zweimal seitens der EU-Kommission überprüft worden, um festzustellen, ob das Privacy Shield weiterhin ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, vor allem unter Berücksichtigung der DSGVO. Erst kürzlich hat die EU-Kommission am 12. September 2019 die dritte jährliche Überprüfung des EU-US Privacy Shields vorgenommen. Diese Überprüfung hat das Privacy Shield bestanden.
Ohne dem EU-US Privacy Shield könnten DSGVO-konforme Auftragsverarbeitung mit amerikanischen Anbietern nicht weiter durchgeführt werden. Neben einer geeigneten Rechtsgrundlage ist auch die Absicherung zur Gewährleistung eines angemessenen Datenschutzniveaus von großer Bedeutung. Diese Gewährleistung wird durch die TOMs in der Anlage zur Auftragsverarbeitung festgehalten.
Was müssen Unternehmen bei der Datenübermittlung in die USA beachten?
Die Artikel-29 Gruppe lieferte hier bereits am 13. Dezember 2016 geeignete Antworten. Grundsätzlich müssen vor der Übermittlung personenbezogener Daten an ein in den USA ansässiges Unternehmen, das von sich behauptet, unter dem Privacy Shield zertifiziert zu sein, sich europäische Unternehmen auch vergewissern, ob das in den USA ansässige Unternehmen im Besitz einer gültigen Zertifizierung ist (die Zertifizierungen müssen jährlich erneuert werden), und dass die Zertifizierung für die betreffenden Daten gilt (Beschäftigtendaten bzw. Nicht-Beschäftigtendaten).
Zur Prüfung, ob eine Zertifizierung gültig ist oder nicht, müssen europäische Unternehmen die auf der Website des US-Handelsministeriums veröffentliche Privacy Shield-Liste einsehen. Alle in den USA ansässigen Unternehmen werden nach erfolgreichem Abschluss des Selbstzertifizierungs-Verfahrens in der Liste aufgeführt. Die Privacy Shield-Liste enthält auch Informationen über die Arten von personenbezogenen Daten, für die sich ein in den USA ansässiges Unternehmen zertifiziert hat, sowie ausführliche Informationen über die von ihm angebotenen Dienstleistungen.
Das US-Handelsministerium führt auch das Verzeichnis der Unternehmen, die nicht mehr Mitglieder des Privacy Shields sind. Diese Unternehmen dürfen nach Beendigung ihrer Teilnahme keine personenbezogenen Daten von EU-Bürgern im Rahmen des Privacy Shields erhalten, aber sie müssen weiterhin die Grundsätze des Privacy Shields auf diejenigen Daten anwenden, die während ihrer aktiven Mitgliedschaft übermittelt wurden.
Für die Übermittlung personenbezogener Daten an Unternehmen, die nicht oder nicht mehr Mitglieder des Privacy Shields sind, können andere von der EU zugelassene Instrumente für die Übermittlung personenbezogener Daten von Einzelpersonen aus der EU an in den USA ansässige Unternehmen genutzt werden.
Grundsätzlich existieren gesetzliche Erlaubnistatbestände, die Datentransfers in Drittländer, und damit auch in die USA, erlauben. Viele der gesetzlichen Erlaubnis-Grundlagen aus Artikel 46 DSGVO müssen zwischen den Aufsichtsbehörden, der Kommission und der US-amerikanischen Regierung verhandelt werden, damit europäische Unternehmen die Erlaubnis-Grundlagen heranziehen dürfen. Im Regelfall werden folgende Grundlagen herangezogen:
- Genehmigte Verhaltensregel gemäß Artikel 40 DSGVO
- Einwilligungen der betroffenen Personen
- Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren erlassen werden
- Angemessenheitsbeschluss der europäischen Kommission
- Sonstige Garantien: Binding-Corporate-Rules
Bitte beachten Sie, dass gemäß der DSGVO durch nationales Datenschutzrecht zusätzliche Anforderungen auferlegt sein können, beispielsweise könnte von Unternehmen in der EU die Aufnahme zusätzlicher Inhalte in die Auftragsverarbeitung-Verträge verlangt werden. Ihre nationale Datenschutzbehörde kann Ihnen weitere Hinweise geben.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
