Wiki

Datenschutz-Akademie

So nutzen Sie das EU-US-Privacy-Shield

Default Image

Hintergrund

Die europäische Union stuft den Transfer personenbezogener Daten in die USA aufgrund des USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.

Aus diesem Grund wurde in der Vergangenheit der Transfer personenbezogener Daten durch das sogenannte Safe-Habor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen is im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden. 

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen. Es wird auch heute von Datenschützer stark kritisiert, ermöglicht aber zumindest formal juristisch eine Übertragung personenbezogener Daten in die USA auf Basis der geltenden Datenschutzbestimmungen in der EU.

Ziel und Nutzen

Auf der offiziellen Internetseitseite des Privacy Shields der U.S.-Regierung werden die Ziele und Nutzen des Privacy Shields wie folgt beschrieben:

"Die EU-U.S. und Swiss-U.S. Privacy-Shield Rahmenbedingungen wurden vom US-Handelsministerium und der Europäischen Kommission sowie der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu erfüllen."

Im Allgemeinen gilt das Privacy-Shield für Handlungen oder Praktiken von "Personen, Personengesellschaften oder Unternehmen". Depotbanken (Banken, föderale Kreditgenossenschaften und Sparkassen), Telekommunikations- und zwischenstaatliche Transportunternehmen, Arbeitsverbände, sowie gemeinnützige Organisationen sowie die meisten Logistikunternehmen fallen nicht darunter.

Datenübertragung in die USA datenschutzrechtlich gesetzeskonform regeln

Unternehmen bzw. Organisationen innerhalb der EU müssen drei Fragestellungen prüfen:

  1. Werden personenbezogene Daten im Rahmen eines Geschäftsprozesses an Geschäftspartner in die USA übertragen? Dieses kann z. B. die Übertragung von Mitarbeiterdaten im Rahmen der Auftragsabwicklung sein oder die Nutzung von Softwarediensten in den USA im Rahmen eines Auftragsverarbeitung.
  2. Werden innerhalb eines Konzerns oder einer Unternehmensgruppe personenbezogene Daten an Tochtergesellschaften in die USA übertragen?
  3. Werden innerhalb einer Gesellschaft mit einem Standort in den USA personenbezogene Daten übertragen?

Für 1, 2 und müssen folgende Aktivitäten durchgeführt werden.

1. Geschäftspartner muss im Privacy-Shield registriert sein

Bei eine Übertragung personenbezogener Daten an Geschäftspartner innerhalb der USA muss dieser Geschäftspartner dem Privacy-Shield-Framework beigetreten sein. Dieses kann auf der Website des Privacy-Shield geprüft werden.

Der Geschäftspartner kann dem Privacy-Shield-Framework ganz einfach auf der offiziellen Website beitreten über ein Eigen-Zertifizierungsverfahren beitreten.

2. U.S.-Tochterunternehmen europäischer Unternehmen müssen handeln

Europäische Unternehmen mit Tochtergesellschaften in den USA sollten diese Töchter für das Privacy-Shield zertifizieren. Das Privacy-Shield-Framework bietet hier die Möglichkeit sich auf seiner offiziellen Internetseite selbst zu zertifizieren.

3. Übertragung innerhalb einer Gesellschaft per Binding-Corporate-Rules (BCR) oder EU-Standardvertrag lösen

 Werden personenbezogene Daten innerhalb einer Gesellschaft, zum Beispiel innerhalb einer Aktiengesellschaft, in die USA übertragen, so muss diese Gesellschaft die Übertragung der personenbezogenen Daten datenschutzrechtlich absichern.

Dieses kann dadurch geschehen, dass die Gesellschaft innerhalb der Unternehmensgruppe unternehmensinterne Richtlinien, sogenannte Binding-Corporate-Rules (BCR), erlässt. Weiterhin hat sie die Möglichkeit EU-Standardvertragsklausel zu nutzen, um die Übertragung datenschutzrechtlich  gesetzeskonform aufzustellen. 

Professioneller Datenschutz

Sie wollen das Thema Datenschutz in professionelle Hände geben? Fragen Sie unverbindlich und kostenfrei einen Datenschutzbeauftragten an.

 

Jetzt Datenschutzbeauftragten anfragen