So nutzen Sie das EU-US-Privacy-Shield
Hintergrund des EU-US-Privacy-Shield
Der EU-US-Privacy-Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Die europäische Union stuft den Transfer personenbezogener Daten in die USA aufgrund des USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.
In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.
Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen. Es wird auch heute von Datenschützer stark kritisiert, ermöglicht aber zumindest formal juristisch eine Übertragung personenbezogener Daten in die USA auf Basis der geltenden Datenschutzbestimmungen in der EU.
Ziel und Nutzen des EU-US-Privacy-Shields
Auf der offiziellen Internetseitseite des Privacy Shields der U.S.-Regierung werden die Ziele und Nutzen des Privacy Shields wie folgt beschrieben:
„Die EU-U.S. und Swiss-U.S. Privacy-Shield Rahmenbedingungen wurden vom US-Handelsministerium und der Europäischen Kommission sowie der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu erfüllen.“
Im Allgemeinen gilt das Privacy-Shield für Handlungen oder Praktiken von „Personen, Personengesellschaften oder Unternehmen“. Depotbanken (Banken, föderale Kreditgenossenschaften und Sparkassen), Telekommunikations- und zwischenstaatliche Transportunternehmen, Arbeitsverbände, sowie gemeinnützige Organisationen sowie die meisten Logistikunternehmen fallen nicht darunter.
Datenübertragung in die USA datenschutzrechtlich gesetzeskonform regeln
Unternehmen bzw. Organisationen innerhalb der EU müssen drei Fragestellungen prüfen:
- Werden personenbezogene Daten im Rahmen eines Geschäftsprozesses an Geschäftspartner in die USA übertragen? Dieses kann z. B. die Übertragung von Mitarbeiterdaten im Rahmen der Auftragsabwicklung sein oder die Nutzung von Softwarediensten in den USA im Rahmen eines Auftragsverarbeitung.
- Werden innerhalb eines Konzerns oder einer Unternehmensgruppe personenbezogene Daten an Tochtergesellschaften in die USA übertragen?
- Werden innerhalb einer Gesellschaft mit einem Standort in den USA personenbezogene Daten übertragen?
Für 1, 2 und müssen folgende Aktivitäten durchgeführt werden.
1. Geschäftspartner muss im Privacy-Shield registriert sein
Bei eine Übertragung personenbezogener Daten an Geschäftspartner innerhalb der USA muss dieser Geschäftspartner dem Privacy-Shield-Framework beigetreten sein. Dieses kann auf der Website des Privacy-Shield geprüft werden.
Der Geschäftspartner kann dem Privacy-Shield-Framework ganz einfach auf der offiziellen Website beitreten über ein Eigen-Zertifizierungsverfahren beitreten.
2. U.S.-Tochterunternehmen europäischer Unternehmen müssen handeln
Europäische Unternehmen mit Tochtergesellschaften in den USA sollten diese Töchter für das Privacy-Shield zertifizieren. Das Privacy-Shield-Framework bietet hier die Möglichkeit sich auf seiner offiziellen Internetseite selbst zu zertifizieren.
3. Übertragung innerhalb einer Gesellschaft per Binding-Corporate-Rules (BCR) oder EU-Standardvertrag lösen
Werden personenbezogene Daten innerhalb einer Gesellschaft, zum Beispiel innerhalb einer Aktiengesellschaft, in die USA übertragen, so muss diese Gesellschaft die Übertragung der personenbezogenen Daten datenschutzrechtlich absichern.
Dieses kann dadurch geschehen, dass die Gesellschaft innerhalb der Unternehmensgruppe unternehmensinterne Richtlinien, sogenannte Binding-Corporate-Rules (BCR), erlässt. Weiterhin hat sie die Möglichkeit EU-Standardvertragsklausel zu nutzen, um die Übertragung datenschutzrechtlich gesetzeskonform aufzustellen.
- COVID-19 und Datenschutz - 25. März 2020
- Datenschutz von Kindern im Internet - 21. Januar 2020
- Datenschutz-Bilanz 18 Monaten DSGVO - 17. Dezember 2019