Maksim Kabakou - Fotolia

Datenaustausch mit den USA: Fällt das Privacy Shield?

Das EU-US-Privacy-Shield gilt als Garant für den rechtssicheren Datenaustausch mit den USA. Ein Dekret des US-Präsidenten sorgt für Verunsicherung.

Mit dem Privacy Shield ist es möglich, personenbezogene Daten aus der EU in die USA zu übermitteln. Bei der Datenübertragung spielt der Schutz der Daten von EU-Bürgern in den USA eine wesentliche Rolle. Das nun unterzeichnete Dekret des US-Präsidenten verunsichert. Besonders Unternehmen, deren Geschäftsmodell mit darauf setzt, personenbezogene Daten zu erfassen und verwerten, dürften aufhorchen.

Die EU-Datenschutzrichtlinie und die neue EU-Datenschutz-Grundverordnung, die ab Mai 2018 von allen betroffenen Unternehmen umzusetzen ist, regeln, dass Datenübermittlungen nur zulässig sind, wenn beim „Datenimporteur“ ein „angemessenes Datenschutzniveau“ besteht. Diese Voraussetzung gilt für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU / des EWR, also in sogenannten Drittstaaten.

Sobald ein in der EU ansässiges Unternehmen Zugriff auf seine personenbezogene Daten gewährt, findet eine Datenweitergabe statt. Der Fall würde bereits eintreten, wenn ein in der EU ansässiges Unternehmen sein Mahnwesen aus betriebswirtschaftlichen Überlegungen in das nicht-europäische Ausland verlagert (häufiger Fall in der Praxis).

Bis 2015 galt Safe Harbor

Bis Oktober 2015 wurden Datenübertragungen an Unternehmen in den USA durch die „Safe Harbor Principles“ geregelt. Sobald ein US-Unternehmen nachweisen konnte, dass es sich den formulierten Prinzipien unterwarf, galt das Datenschutzniveau bei diesem Unternehmen als angemessen. Safe Harbor wurde massenhaft angewendet. Allerdings hat der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 dieser Praxis ein Ende bereitet. Die Kommission entschied, dass Safe Harbor ungültig sei. Man hatte feststellen müssen, dass die Vorstellungen von Datensicherheit in den USA und der EU nicht identisch waren. Der Entscheidung vorausgegangen war die NSA-Affäre. Die National Security Agency (NSA) hatte EU-Bürger ausgespäht.

Privacy Shield sollte es richten

In der Folge sollte das Privacy Shield die Situation klären und Rechtssicherheit bringen. Bereits knapp acht Monate nach der Entscheidung des EuGH war die Selbstverpflichtung für Unternehmen ausverhandelt. Die Kriterien sind strenger als beim Safe Harbor und gelten bis heute, denn die EU Kommission erkannte das Privacy Shield im Juli 2016 an. Seit dieser Zeit ist bei Datenimporteuren aus den USA davon auszugehen, dass sie ein angemessenes Datenschutzniveau realisieren, wenn sie dem Privacy Shield beigetreten sind.

Zwei Klassen bei der Massenüberwachung

Am 25. Januar 2017 nun hat der neugewählte US-Präsident Donald Trump die Anordnung (Executive Order) zur „Verbesserung der öffentlichen Sicherheit“ unterschrieben. Diese besagt zum Beispiel, dass Personen, die keine Staatsangehörigen der USA oder gesetzlich ständige Einwohner sind, vom Schutz des „Privacy Acts“ nicht erfasst werden.

Gerade dieser Privacy Act allerdings schützt Amerikaner vor Massenüberwachung. Wenn dies beispielsweise für EU-Bürger nicht gilt, sind EU-Bürger nicht geschützt. Bisher war es so, dass EU-Bürger die Möglichkeit hatten, sich direkt an US-Behörden zu wenden, wenn sie von einem Verstoß gegen die eigenen Datenschutzrechte ausgehen mussten. Die Frage ist, ob dies jetzt nicht mehr möglich sein soll.

Sylle Schreyer-Bestmann, CMS Deutschland

„Welche Konsequenzen das betroffene Dekret für den Datenaustausch und die Rechtmittel von EU-Bürgern im Fall eines Datenmissbrauchs von US-Unternehmen haben wird, ist noch nicht abschließend zu beurteilen.“

Sylle Schreyer-Bestmann, CMS Deutschland

 

Auch wenn Präsident Trump das Privacy Shield noch nicht direkt angegriffen hat, sorgt die neue Anordnung für Verunsicherung in der Branche. Nun muss der Angemessenheitsbeschluss, den die Europäische Kommission im Sommer 2016 gefasst hatte, neu untersucht werden.

Rechtssicherheit – aber wie?

Wie die Rechtssicherheit im Datenaustausch zwischen EU-und US- Unternehmen hergestellt werden kann, sollte das Privacy Shield fallen, ist nun die Frage. Wahrscheinlich ist, dass dann auf Standardvertragsklauseln der EU-Kommission zurückgegriffen wird. Mit diesen Klauseln wird ein Vertrag zwischen Datenexporteuer und Datenimporteur geschlossen. Auch nach dem Wegfall der Safe-Harbor-Regelung griffen viele Unternehmen in der Praxis auf Standardvertragsklauseln der EU-Kommission zurück, um so kurzfristig eine rechtssichere Lösung zu schaffen. Die EU-Kommission hat gerade kürzlich bestätigt, dass sie von der Zulässigkeit von Datentransfers ausgeht, wenn diese auf Standardvertragsklauseln zwischen den Parteien beruhen.

Fazit

Welche Konsequenzen das betroffene Dekret für den Datenaustausch und die Rechtmittel von EU-Bürgern im Fall eines Datenmissbrauchs von US-Unternehmen haben wird, ist noch nicht abschließend zu beurteilen. Sollte das Privacy Shield allerdings fallen, werden wohl die Standardvertragsklauseln der EU wieder das Mittel der Wahl sein.

Über den Autor:
Die Autorin Sylle Schreyer-Bestmann ist Rechtsanwältin bei CMS Deutschland am Standort Berlin. Sie berät nationale und internationale Unternehmen im Bereich des Datenschutzes, insbesondere bei der datenschutzkonformen Gestaltung ihrer Geschäftsmodelle, bei der internen Datenschutzorganisation und im Bereich Beschäftigtendatenschutz.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

Datenschutz-Grundverordnung: Worauf bei der Cloud-Migration zu achten ist

Datenschutz-Grundverordnung: Was sich bei den Software-Einstellungen ändern muss

Die Informationspflichten nach EU-DSGVO: Wie man sich vorbereiten muss

Erfahren Sie mehr über Datenschutz und Compliance

ComputerWeekly.de
Close