Was war geschehen?
Das im Jahr 2000 entstandene „Safe- Harbor“-Abkommen, sollte den Datentransfer zwischen den EU-Mitgliedstaaten und den USA ermöglichen und regeln. Das „Safe-Harbor-Abkommen“ war notwendig geworden, da der Austausch von personenbezogenen Daten zwischen der EU und einem Nicht-EU-Drittstaat gemäß der europäischen Datenschutzrichtlinie 94/46/EG und § 4b BDSG ein „mit der EU vergleichbares“ Datenschutzniveau voraussetzt.
Die bis dahin fehlenden Datenschutzregelungen in den USA sollten durch die Vorgaben und Richtlinien des „Safe-Harbor“-Abkommens geregelt werden. Das Abkommen umfasste z.B. die Verpflichtung der datenerhebenden Unternehmen EU-Bürger über den Grund der Datenerhebung zu informieren und Ihnen Möglichkeiten zur Kontaktaufnahme zu den Unternehmen zu bieten.
EuGH-Entscheidung
Der EuGH entschied jedoch, dass das durch das Safe-Harbor-Abkommen geregelte Datenschutzniveau nicht ausreichend sei, um ein „mit der EU“ vergleichbares Datenschutzniveau sicherzustellen. Aufgrund amerikanischer Gesetze mussten Unternehmen jedoch Daten und Informationen ohne Kenntnis der Bürger an Regierungsorganisationen weitergeben. Nach Ansicht des EuGH schützte das „Safe-Harbor“-Abkommen die personenbezogenen Daten nicht ausreichend vor dem Zugriff der US-Behörden und sah darin eine Verletzung der Datenschutzrichtlinie, des Grundrechts auf Achtung des Privat- und Familienlebens und des Schutzes personenbezogener Daten. Hauptkritikpunkt des EuGH war dabei, dass der Betroffene, also die Person, deren Daten verarbeitet werden, nicht ausreichend geschützt wird. Informations- und Einsichtsrechte, die sowohl im Europäischen Recht wie auch im BDSG garantiert sind, fehlten im Bereich des „Safe-Harbor“-Abkommens oder waren unzureichend.
Da das „Safe-Harbor“-Abkommen jedoch auch die Zulässigkeit von Datentransfers zwischen der EU und den USA begründete, bestand vom Zeitpunkt der Entscheidung des EuGH bis zum 12.07.2016 für Unternehmen Rechtsunsicherheit. Diese wurde noch durch die Stellungnahmen der Datenschutzbeauftragten des Bundes und der Länder verstärkt, die einen Datentransfer in die USA für rechtswidrig hielten.
Viele Unternehmen nutzten die sogenannten „EU-Standardvertragsklauseln“
Während dieser Phase benutzten viele Unternehmen die sogenannten „EU-Standardvertragsklauseln“. Dies sind von der EU-Kommission vorformulierte Klauseln, die den zwischenzeitlichen Datenaustausch bis zu einem neuen Datenschutzabkommen regeln und ein angemessenes Datenschutzniveau schaffen sollten. Allerdings ist ein solches Ausweichen nur dann möglich, wenn die EU-Standardvertragsklauseln im Wesentlichen uneingeschränkt vom Datenverarbeiter übernommen werden, er diese also nicht im Rahmen seiner Geschäftsbedingungen oder Datenschutzerklärungen aufweicht oder abändert.
Das neue „Privacy Shield“ soll nun Abhilfe schaffen und ein mit der EU vergleichbares Schutzniveau bei der Übermittlung personenbezogener Daten gewährleisten. Von nun an sollen personenbezogene Daten wie Name, Adresse, Telefonnummern, Kreditkartennummern, Gesundheitsdaten, Religion, Alter, Größe, Versicherungsnummern und andere private, identifizierende Informationen in den USA besser geschützt sein. Solche Daten werden beispielsweise bei Online-Einkäufen, Social-Media-Aktivitäten etc über die Webserver der Anbieter in die USA weitergeleitet und dort gespeichert.
Warum sollte mich das „Problem“ interessieren?
Auch „normale“ Unternehmen, sollten sich für die Regelungen des „Privacy Shield“ interessieren, da vielen bei der „normalen“ Nutzung ihrer Firmenhandys oder Firmen-PCs nicht bewusst ist, dass sie auch personenbezogene Daten von Kunden, Mitarbeitern etc. in den USA oder anderen Nicht-EU-Ländern speichern. Denkbare Problemfälle sind z.B. die Nutzung von Cloud-Diensten wie Dropbox, Google-Drive oder iCloud. Diese Anbieter haben ihre Server in den USA. Das Speichern der Daten auf diesen Servern fällt entsprechend bereits in den hier skizzierten Anwendungsbereich des EU-US Datenschutzschildes. Solche Problemfälle können bei jedem „Backup“ in der Cloud sowie beim Speichern oder der Freigabe der Kontakte an bekannte Apps wie Facebook, Twitter, Snapchat, Xing, PayPal, PokemonGo, Quizduell, WhatsApp etc. lauern, da diese Apps allesamt auch immer Zugriff auf das Telefonbuch haben. Gerne verweisen wir hier auf den Artikel “Plötzlich wurden einer Psychiaterin ihre Patienten auf Facebook vorgeschlagen: Wie kann das sein?“, der das Problem anschaulich darstellt.
Was ist nun zu tun?
Unternehmen können sich seit dem 01.08.2016, wenn sie personenbezogene Daten in die USA übermitteln möchten, beim US-Handelsministerium für die Aufnahme in die Liste des Datenschutzschildes anmelden. Voraussetzung ist, dass die geforderten Datenschutzstandards erfüllt werden. Die Aufnahme wird dann durch eine „Zertifizierung“ bestätigt. Das Unternehmen kann sich selbst einschätzen oder eine Einschätzung durch Außenstehende durchführen lassen. Aufzuzeigen ist dabei lediglich, dass der Datenschutz im Unternehmen die Auflagen des „Privacy Shield“ erfüllt.
Bei der „Selbstzertifizierung“ wird ein Antrag eingereicht, dem zu entnehmen sein muss, dass das Unternehmen die Datenschutzrichtlinien und die Anforderungen des „Privacy Shield“ erfüllt. Zudem muss konkret angegeben werden, welche Daten erhoben und weitergegeben werden. Werden höchstpersönliche Daten zum Gesundheitszustand, der sexuellen Orientierung oder der ethnischen Herkunft erhoben, hat das Unternehmen den betroffenen Bürger darüber besonders deutlich zu informieren. Zudem muss von jedem Unternehmen eine Anlaufstelle für Beschwerden und Anfragen eingerichtet werden.
Die Registrierung für das „Privacy Shield“ ist ein Jahr lang gültig und kostet die Unternehmen je nach Umsatz zwischen 250 US$ und 3.500 US$ jährlich. Das Zertifikat muss jährlich erneuert und nachgewiesen werden, dass die Datenschutzstandards weiterhin erfüllt werden.
Das US-Handelsministerium wird die Einhaltung der Bestimmungen regelmäßig nachprüfen. Unter anderem müssen Unternehmen die Dokumentationen und Nachweise über den Datenschutz aufheben und auf Anfrage vorzeigen können. Sollten Unternehmen den Auflagen nach der Aufnahme nicht mehr entsprechen, drohen ihnen Sanktionen und die Entfernung von der Liste der zertifizierten Unternehmen.
Ohne Zertifizierung bzw. ohne Einhaltung des geforderten Datenschutzniveaus entfällt dann auch die Zulässigkeit der Datenübermittlung ins Nicht-EU-Ausland. Es solcher Verstoß gegen das BDSG und die Europäische Datenschutzrichtlinie kann mit Bußgeldern bis zu 300.000 Euro geahndet werden, § 43 BDSG.
Eine Möglichkeit für europäische Unternehmen, Rechtsunsicherheiten oder erneuten Mängeln im Datenschutzabkommen zu entgehen, kann z.B. darin Bestehen einen Cloud-Dienst auf einem europäischen Server zu nutzen.
Wünschen Sie eine persönliche Beratung von einem unserer Rechtsanwälte oder Notare? Wir stehen Ihnen gerne mit Rat und Tat zur Seite.