EU-US-Privacy-Shield
Bild von Pete Linforth auf Pixabay

So nutzen Sie das EU-US-Privacy-Shield

Hintergrund des EU-US-Privacy-Shield

Der EU-US-Privacy-Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Die europäische Union stuft den Transfer personenbezogener Daten in die USA aufgrund des USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen. Es wird auch heute von Datenschützer stark kritisiert, ermöglicht aber zumindest formal juristisch eine Übertragung personenbezogener Daten in die USA auf Basis der geltenden Datenschutzbestimmungen in der EU.

Ziel und Nutzen des EU-US-Privacy-Shields

Auf der offiziellen Internetseitseite des Privacy Shields der U.S.-Regierung werden die Ziele und Nutzen des Privacy Shields wie folgt beschrieben:

„Die EU-U.S. und Swiss-U.S. Privacy-Shield Rahmenbedingungen wurden vom US-Handelsministerium und der Europäischen Kommission sowie der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu erfüllen.“

Im Allgemeinen gilt das Privacy-Shield für Handlungen oder Praktiken von „Personen, Personengesellschaften oder Unternehmen“. Depotbanken (Banken, föderale Kreditgenossenschaften und Sparkassen), Telekommunikations- und zwischenstaatliche Transportunternehmen, Arbeitsverbände, sowie gemeinnützige Organisationen sowie die meisten Logistikunternehmen fallen nicht darunter.

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten Datenschutzbeauftragten.

Mehr erfahren

Datenübertragung in die USA datenschutzrechtlich gesetzeskonform regeln

Unternehmen bzw. Organisationen innerhalb der EU müssen drei Fragestellungen prüfen:

  1. Werden personenbezogene Daten im Rahmen eines Geschäftsprozesses an Geschäftspartner in die USA übertragen? Dieses kann z. B. die Übertragung von Mitarbeiterdaten im Rahmen der Auftragsabwicklung sein oder die Nutzung von Softwarediensten in den USA im Rahmen eines Auftragsverarbeitung.
  2. Werden innerhalb eines Konzerns oder einer Unternehmensgruppe personenbezogene Daten an Tochtergesellschaften in die USA übertragen?
  3. Werden innerhalb einer Gesellschaft mit einem Standort in den USA personenbezogene Daten übertragen?

Für 1, 2 und müssen folgende Aktivitäten durchgeführt werden.

1. Geschäftspartner muss im Privacy-Shield registriert sein

Bei eine Übertragung personenbezogener Daten an Geschäftspartner innerhalb der USA muss dieser Geschäftspartner dem Privacy-Shield-Framework beigetreten sein. Dieses kann auf der Website des Privacy-Shield geprüft werden.

Der Geschäftspartner kann dem Privacy-Shield-Framework ganz einfach auf der offiziellen Website beitreten über ein Eigen-Zertifizierungsverfahren beitreten.

2. U.S.-Tochterunternehmen europäischer Unternehmen müssen handeln

Europäische Unternehmen mit Tochtergesellschaften in den USA sollten diese Töchter für das Privacy-Shield zertifizieren. Das Privacy-Shield-Framework bietet hier die Möglichkeit sich auf seiner offiziellen Internetseite selbst zu zertifizieren.

3. Übertragung innerhalb einer Gesellschaft per Binding-Corporate-Rules (BCR) oder EU-Standardvertrag lösen

Werden personenbezogene Daten innerhalb einer Gesellschaft, zum Beispiel innerhalb einer Aktiengesellschaft, in die USA übertragen, so muss diese Gesellschaft die Übertragung der personenbezogenen Daten datenschutzrechtlich absichern.

Dieses kann dadurch geschehen, dass die Gesellschaft innerhalb der Unternehmensgruppe unternehmensinterne Richtlinien, sogenannte Binding-Corporate-Rules (BCR), erlässt. Weiterhin hat sie die Möglichkeit EU-Standardvertragsklausel zu nutzen, um die Übertragung datenschutzrechtlich  gesetzeskonform aufzustellen.

Prof. Dr. Andre Döring
Neueste Anzeigen von Prof. Dr. Andre Döring (Alle anzeigen)

Das könnte Sie auch interessieren:

E-Privacy-VerordnungBild von Gerd Altmann auf Pixabay 

Die e-Privacy-Verordnung

Die e-Privacy-Verordnung ist umstritten. Wirtschaftliche Interessen stehen dem Datenschutz gegenüber. Erfahren Sie wie sich Ihre Firma vorbereiten muss.
Weiterlesen
Privacy by Design

Privacy by Design

Die datenschutzkonforme technische Konzeption und Entwicklung von IT-Systemen hat Konsequenzen für den Datenschutz und Vorteile für Unternehmen.
Weiterlesen
Energie und UmweltbranchePhoto by Luca Bravo on Unsplash

Datenschutz in der Energie- und Umweltbranche

Unternehmen der Energie- und Umweltbranche müssen umfangreiche Dokumentations- und Rechenschaftspflichten sowie Maßnahmen zur Auftragsverarbeitung und Datenübertragbarkeit beachten.
Weiterlesen