Eine Neuigkeit von ISiCO Datenschutz GmbH

Das Europäische Parlament wendet sich mit einem Entschließungsantrag an die EU-Kommission um den EU US-Privacy Shield überprüfen zu lassen.

Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Datentransfers aus der EU in die USA kritisch betrachtet. Mit Wirkung der DSGVO seit dem 25. Mai 2018 hat sich die Aufmerksamkeit für dieses Thema nochmals erhöht. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheitsbeschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssichere Rechtsgrundlage. Unternehmen sollten sich daher mit anderen Rechtsgrundlagen für den Datentransfer in die USA beschäftigen.

Was sind Angemessenheitsbeschlüsse der EU- Kommission?
Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern.

Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art.45 Abs.3 DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird. In einem solchen Fall kann die Kommission bestätigen, dass das Datenschutzniveau im Drittland „angemessen“ ist, weshalb die Übermittlung von personenbezogenen Daten an Unternehmen oder Mitglieder der eigenen Unternehmensgruppe in diesem Drittland nicht gegen die DSGVO verstößt. Beispiel für ein entsprechendes Vorgehen ist der Angemessenheitsbeschluss der EU-Kommission in Bezug auf das EU-US Privacy Shieldsoweit selbstzertifizierte Organisationen betroffen sind, die sich dem Schutzmechanismus angeschlossen haben. Der Angemessenheitsbeschluss der EU-Kommission setzt aber nicht zwingend ein Übereinkommen mit einem Drittland voraus. Gemäß Art. 45 DSGVO kann die Kommission einen solchen Beschluss auch dann fassen, wenn sie allgemein zu der Auffassung gelangt, dass ein angemessenes Schutzniveau im Drittland besteht. Berücksichtigt werden dabei unter anderem die Menschenrechtssituation, Grundfreiheiten, Datenschutzvorschriften, Struktur der Aufsichtsbehörden und internationalen Verpflichtungen des Drittlandes.

Was ist der EU-US Privacy Shield?
Als Angemessenheitsbeschluss ermöglicht der EU-US Privacy Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU Privacy Shield als Unternehmen mit hohem Datenschutzniveau gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen. Gleiches gilt für Datentransfers innerhalb einer Unternehmensgruppe, wenn ein Tochterunternehmen in den USA niedergelassen ist.

Der Privacy Shield stellt die Nachfolge des Save-Harbour-Abkommens dar, das der EuGH 2015 für unwirksam erklärt hatte. Weder Privacy Shield noch Safe-Harbour-Abkommen stellen rechtsverbindliche Abkommen dar. Dennoch bietet der Privacy Shield einen Rechtsrahmen, der die dort gelisteten Unternehmen und den insoweit mit den USA stattfindenden Datenaustausch als rechtssicher einordnet und damit auch aus Sicht der DSGVO legitimiert.

Weshalb ist der EU-US Privacy Shield in Gefahr?
Ausgangspunkt der Infragestellung des EU-US Privacy Shields war der Regierungswechsel in den USA und die Präsidentschaft von US-Präsident Donald Trump.

Grundlage für den EU-US Privacy Shield waren einige inneramerikanische Rechts- und Gesetzänderungen im Jahr 2016. Insbesondere konnten sich (bestimmte, u.a. deutsche) EU-Bürger auf US-Rechte nach dem amerikanischen „Privacy Act“ direkt vor US-Justizbehörden wenden. Lesen Sie den kompletten Beitrag unter: https://goo.gl/81WDHQ