wichtiger technischer Hinweis:
Sie sehen diese Hinweismeldung, weil Sie entweder die Darstellung von Cascading Style Sheets (CSS) in Ihrem Browser unterbunden haben, Ihr Browser nicht vollständig mit dem Standard HTML 5 kompatibel ist oder ihr Browsercache die Stylesheet-Angaben 'verschluckt' hat. Lesen Sie mehr zu diesem Thema und weitere Informationen zum Design dieser Homepage unter folgender Adresse:   ->  weitere Hinweise und Informationen
Suche
Anwalt gesucht?
Anwalt gefunden!
Sie haben ein rechtliches Problem? Eine individuelle Rechtsfrage? Streit mit dem Nachbarn, Chef oder Ämtern?Gehen Sie auf Nummer sicher und holen Sie sich den fachkundigen Rat eines Rechtsanwalts.Hier im Deutschen Anwaltsregister finden Sie immer den passenden Rechtsanwalt in Ihrer Nähe.Nutzen Síe Ihr Recht!

Datenschutzrecht und EU-Recht | 09.11.2016

Datenschutz

Neuregelung des Daten­austauschs zwischen der EU und den USA: EU-U.S. Privacy Shield ersetzt „Safe- Harbor“-Abkommen

„Safe-Harbor“- Abkommen war vom Europäischen Gerichtshof für ungültig erklärt worden

Fachbeitrag von Rechtsanwalt Dominik Nowak

Am 12.7.2016 haben sich EU Kommission und die USA auf eine Neuregelung des Daten­austauschs zwischen der EU und den USA geeinigt. Damit ist das sogenannte „EU-U.S. Privacy Shield“ („EU-US Daten­schutz­schild“) an die Stelle des „Safe-Harbor“- Abkommens, das im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden war, getreten. Die für Unternehmen zwischen­zeitlich herrschende Rechts­unsicherheit ist nun beendet.

Werbung

Was war geschehen?

Das im Jahr 2000 entstandene „Safe- Harbor“-Abkommen, sollte den Daten­transfer zwischen den EU-Mitglied­staaten und den USA ermöglichen und regeln. Das „Safe-Harbor-Abkommen“ war notwendig geworden, da der Austausch von personen­bezogenen Daten zwischen der EU und einem Nicht-EU-Drittstaat gemäß der europäischen Datenschutz­richtlinie 94/46/EG und § 4b BDSG ein „mit der EU vergleich­bares“ Daten­schutz­niveau voraussetzt.

Die bis dahin fehlenden Datenschutz­regelungen in den USA sollten durch die Vorgaben und Richtlinien des „Safe-Harbor“-Abkommens geregelt werden. Das Abkommen umfasste z.B. die Verpflichtung der daten­erhebenden Unternehmen EU-Bürger über den Grund der Daten­erhebung zu informieren und Ihnen Möglichkeiten zur Kontakt­aufnahme zu den Unternehmen zu bieten.

EuGH-Entscheidung

Der EuGH entschied jedoch, dass das durch das Safe-Harbor-Abkommen geregelte Daten­schutz­niveau nicht ausreichend sei, um ein „mit der EU“ vergleich­bares Daten­schutz­niveau sicherzustellen. Aufgrund amerikanischer Gesetze mussten Unternehmen jedoch Daten und Informationen ohne Kenntnis der Bürger an Regierungs­organisationen weitergeben. Nach Ansicht des EuGH schützte das „Safe-Harbor“-Abkommen die personen­bezogenen Daten nicht ausreichend vor dem Zugriff der US-Behörden und sah darin eine Verletzung der Datenschutz­richtlinie, des Grundrechts auf Achtung des Privat- und Familien­lebens und des Schutzes personen­bezogener Daten. Hauptkritik­punkt des EuGH war dabei, dass der Betroffene, also die Person, deren Daten verarbeitet werden, nicht ausreichend geschützt wird. Informations- und Einsichts­rechte, die sowohl im Europäischen Recht wie auch im BDSG garantiert sind, fehlten im Bereich des „Safe-Harbor“-Abkommens oder waren unzureichend.

Da das „Safe-Harbor“-Abkommen jedoch auch die Zulässigkeit von Daten­transfers zwischen der EU und den USA begründete, bestand vom Zeitpunkt der Entscheidung des EuGH bis zum 12.07.2016 für Unternehmen Rechts­unsicherheit. Diese wurde noch durch die Stellung­nahmen der Daten­schutz­beauftragten des Bundes und der Länder verstärkt, die einen Daten­transfer in die USA für rechts­widrig hielten.

Werbung

Viele Unternehmen nutzten die sogenannten „EU-Standard­vertrags­klauseln“

Während dieser Phase benutzten viele Unternehmen die sogenannten „EU-Standard­vertrags­klauseln“. Dies sind von der EU-Kommission vorformulierte Klauseln, die den zwischen­zeitlichen Daten­austausch bis zu einem neuen Datenschutz­abkommen regeln und ein angemessenes Daten­schutz­niveau schaffen sollten. Allerdings ist ein solches Ausweichen nur dann möglich, wenn die EU-Standard­vertrags­klauseln im Wesentlichen uneingeschränkt vom Daten­verarbeiter übernommen werden, er diese also nicht im Rahmen seiner Geschäfts­bedingungen oder Daten­schutz­erklärungen aufweicht oder abändert.

Das neue „Privacy Shield“ soll nun Abhilfe schaffen und ein mit der EU vergleich­bares Schutz­niveau bei der Überm­ittlung personen­bezogener Daten gewähr­leisten. Von nun an sollen personen­bezogene Daten wie Name, Adresse, Telefon­nummern, Kredit­karten­nummern, Gesundheits­daten, Religion, Alter, Größe, Versicherungs­nummern und andere private, identifizierende Informationen in den USA besser geschützt sein. Solche Daten werden beispiels­weise bei Online-Einkäufen, Social-Media-Aktivitäten etc über die Webserver der Anbieter in die USA weitergeleitet und dort gespeichert.

Warum sollte mich das „Problem“ interessieren?

Auch „normale“ Unternehmen, sollten sich für die Regelungen des „Privacy Shield“ interessieren, da vielen bei der „normalen“ Nutzung ihrer Firmen­handys oder Firmen-PCs nicht bewusst ist, dass sie auch personen­bezogene Daten von Kunden, Mitarbeitern etc. in den USA oder anderen Nicht-EU-Ländern speichern. Denkbare Problem­fälle sind z.B. die Nutzung von Cloud-Diensten wie Dropbox, Google-Drive oder iCloud. Diese Anbieter haben ihre Server in den USA. Das Speichern der Daten auf diesen Servern fällt entsprechend bereits in den hier skizzierten Anwendungs­bereich des EU-US Datenschutz­schildes. Solche Problem­fälle können bei jedem „Backup“ in der Cloud sowie beim Speichern oder der Freigabe der Kontakte an bekannte Apps wie Facebook, Twitter, Snapchat, Xing, PayPal, PokemonGo, Quizduell, WhatsApp etc. lauern, da diese Apps allesamt auch immer Zugriff auf das Telefonbuch haben. Gerne verweisen wir hier auf den Artikel “Plötzlich wurden einer Psychiaterin ihre Patienten auf Facebook vorgeschlagen: Wie kann das sein?“, der das Problem anschaulich darstellt.

Werbung

Was ist nun zu tun?

Unternehmen können sich seit dem 01.08.2016, wenn sie personen­bezogene Daten in die USA übermitteln möchten, beim US-Handels­ministerium für die Aufnahme in die Liste des Datenschutz­schildes anmelden. Voraussetzung ist, dass die geforderten Datenschutz­standards erfüllt werden. Die Aufnahme wird dann durch eine „Zertifizierung“ bestätigt. Das Unternehmen kann sich selbst einschätzen oder eine Einschätzung durch Außen­stehende durchführen lassen. Aufzuzeigen ist dabei lediglich, dass der Datenschutz im Unternehmen die Auflagen des „Privacy Shield“ erfüllt.

Bei der „Selbst­zertifizierung“ wird ein Antrag eingereicht, dem zu entnehmen sein muss, dass das Unternehmen die Daten­schutz­richtlinien und die Anforderungen des „Privacy Shield“ erfüllt. Zudem muss konkret angegeben werden, welche Daten erhoben und weiter­gegeben werden. Werden höchst­persönliche Daten zum Gesundheits­zustand, der sexuellen Orientierung oder der ethnischen Herkunft erhoben, hat das Unternehmen den betroffenen Bürger darüber besonders deutlich zu informieren. Zudem muss von jedem Unternehmen eine Anlauf­stelle für Beschwerden und Anfragen eingerichtet werden.

Die Registrierung für das „Privacy Shield“ ist ein Jahr lang gültig und kostet die Unternehmen je nach Umsatz zwischen 250 US$ und 3.500 US$ jährlich. Das Zertifikat muss jährlich erneuert und nachgewiesen werden, dass die Datenschutz­standards weiterhin erfüllt werden.

Das US-Handels­ministerium wird die Einhaltung der Bestimmungen regelmäßig nachprüfen. Unter anderem müssen Unternehmen die Dokumentationen und Nachweise über den Datenschutz aufheben und auf Anfrage vorzeigen können. Sollten Unternehmen den Auflagen nach der Aufnahme nicht mehr entsprechen, drohen ihnen Sanktionen und die Entfernung von der Liste der zertifizierten Unternehmen.

Ohne Zertifizierung bzw. ohne Einhaltung des geforderten Datenschutz­niveaus entfällt dann auch die Zulässigkeit der Datenüber­mittlung ins Nicht-EU-Ausland. Es solcher Verstoß gegen das BDSG und die Europäische Datenschutz­richtlinie kann mit Bußgeldern bis zu 300.000 Euro geahndet werden, § 43 BDSG.

Eine Möglichkeit für europäische Unternehmen, Rechts­unsicher­heiten oder erneuten Mängeln im Datenschutz­abkommen zu entgehen, kann z.B. darin Bestehen einen Cloud-Dienst auf einem europäischen Server zu nutzen.

Wünschen Sie eine persönliche Beratung von einem unserer Rechts­anwälte oder Notare? Wir stehen Ihnen gerne mit Rat und Tat zur Seite.

Ein Fachbeitrag von [Anbieter­kenn­zeichnung]

BewertungssternBewertungssternBewertungssternBewertungssternBewertungssternBewertung: keine Bitte bewerten Sie diesen Artikel.0/0/5/0





       Sie sind Anwalt?! Werden Sie ein Teil vom Deutschen Anwaltsregister (DAWR) und stellen Sie sich und Ihre Kanzlei ausführlich vor!Profitieren Sie von der großen Reichweite des DAWR und seiner Partnerportale.Klicken Sie hier und nutzen Sie jetzt Ihre Gelegenheit
auf mehr Mandate aus dem Internet!

#3344

URL dieses Artikels: https://www.dawr/d3344
 für RechtsanwälteEin Kanzleiprofil beim DAWR kann auch Ihnen helfen!