EU-US Privacy Shield – Datentransfer in die USA
Das EU-US Privacy Shield ist ein bedeutendes Abkommen (Angemessenheitsbeschluss Art. 45 DSGVO) im Datenschutzrecht, das zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) vereinbart wurde. Der Datentransfer zur USA hat für die deutsche Wirtschaft einen hohen Stellenwert. Ob der Datentransfer von der Bundesrepublik in die Vereinigten Staaten auf der Grundlage der Datenschutzgrundverordnung (DSGVO) auch rechtssicher ist, wird die Zukunft zeigen.
Lesen Sie hier:
Internationale Abkommen: Safe Harbor und Privacy Shield
Bisher wurde der Datentransfer USA durch das sogenannte Safe Harbor-Datenschutzabkommen geregelt, welches die EU und die USA vereinbart hatten. Im Jahre 2015 entschied der Gerichtshof der Europäischen Union (EuGH), dass der Datenschutz in den USA nicht mit dem in der EU geltendem Recht vereinbar sei. Demzufolge kann die USA nicht als sicheres Drittland für die Datenverarbeitung gelten.
Das sog. Safe-Harbor-Abkommen, welches den Datentransfer früher ermöglichte, wurde vom EuGH am 06. Oktober 2016 somit gekippt und die Nachfolgeregelung ist das EU-US Privacy Shield. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) forderte nun auch dessen Aussetzung zum 01. September 2018, sofern sich die EU mit den USA nicht auf einen effektiveren Datenschutz einigt.
Aufgrund des Urteils EuGH wurde somit der Datenschutz verschärft und jegliche Übermittlung von personenbezogenen Daten auf Server in den USA zunächst für unzulässig erklärt. Gegen einige größere Unternehmen wurden sogar Strafmaßnahmen angeordnet. Es kam zur Verhängung von Bußgeldern.
Im Juli 2016 trat das sog. EU-US-Privacy-Shield-Abkommen in Kraft, welches die Vereinigten Staaten und die Europäische Union vereinbarten. Hier sind neue Datenschutzanforderungen für US-Unternehmen, der Datenzugriff für US-Behörden und die Rechtsdurchsetzung von Betroffenen in den USA verankert. Das Privacy-Shield ist als eine aktuelle Rechtsgrundlage für den Datentransfer USA anzusehen.
Rechtliche Relevanz von persönlichen Daten
Problematisch, bei übertragung personenbezogener Daten in die USA. Gemäß vom aktuellen Bundesdatenschutzgesetz (BDSG) gehören dazu Einzelangaben über persönliche Verhältnisse einer bestimmten Person. Die Bestimmbarkeit ist umstritten. Die Datenschutzbeauftragten des Bundes gehen davon aus, dass IP-Adressen, Cookies und E-Mail-Adressen zu dem engeren Bereich der personenbezogenen Daten gehören.
In der Datenschutzgrundverordnung (DSGVO) ist die Relevanz ganz klar formuliert. Zu den persönlichen Daten gehören alle Hinweise, die sich auf eine natürliche Person beziehen. Gemäß Art. 4 Nr. 1 DSGVO wird als identifizierbar jede natürliche Person angesehen, die durch Zuordnung erkennbar ist, wie beispielsweise dem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen.
Die Anforderungen von der Datenschutzgrundverordnung und vom Privacy Shield sind beim Datentransfer USA grundsätzlich einzuhalten. Deutsche Unternehmen haben die EU-Standarddatenschutzklauseln mit US-Anbietern abzuschließen. Dadurch bekommen EU-Unternehmen mehr Rechtssicherheit bei den Datenübermittlungen.
Wie in der Kommission beschlossen, haben US-Unternehmen die Möglichkeit,
Unternehmen sich auf der Privacy-Shield-Liste des US-Handelsministeriums einzutragen. Stellt der Datenexporteur aus der EU sicher, dass das Unternehmen in der Privacy-Shield-Liste aufgenommen wurde und ggf. auch die Zertifizierung für Beschäftigtendaten umfasst ist, kann der Datentransfer ohne besondere Genehmigung erfolgen.
Ob Ihr spezieller Dienstleister das erforderliche Zertifikat besitzt, ist über die Liste des US-Handelsministeriums zu überprüfen, in der sich die Unternehmen eintragen lassen können: www.privacyshield.gov/list Diese Zertifikate sind jährlich zu erneuern und wieder nachzuweisen.
Was sollten EU-Unternehmen beachten?
Seit Wirksamwerden EU-US Privacy Shield sollen Unternehmen die EU-Standarddatenschutzklauseln mit US-Anbietern abschließen.
So erlangen EU-Unternehmen eine weitere Sicherheit für die Rechtmäßigkeit der Übermittlung. Große Anbieter wie Google, Amazon oder Microsoft stellen die Vereinbarung online zur Verfügung.
Dennoch ist Wachsamkeit geboten, denn selbst die bislang als bestes Mittel geltenden Standarddatenschutzklauseln stehen in der Kritik und vom EuGH im Verfahren Schrems gegen Facebook auf ihre Wirksamkeit hin geprüft.
Weitere News DSGVO:
DSGVO im internationalen Datenverkehr
https://datenschutzbeauftragter-dsgvo.com/dsgvo-im-internationalen-datenverkehr/
[…] https://datenschutzbeauftragter-dsgvo.com/eu-us-privacy-shield-datentransfer-in-die-usa/ […]
[…] https://datenschutzbeauftragter-dsgvo.com/eu-us-privacy-shield-datentransfer-in-die-usa/ […]
[…] EU-US Privacy Shield – Datentransfer in die USA […]