Das Whitepaper des GDD-Arbeitskreises beleuchtet die gegenwärtige Situation von Datenexporten in die USA und soll dazu beitragen, die Entscheidungsfindung betroffener Unternehmen zu unterstützen. Mehr zu den Inhalten des Whitepapers finden Sie hier.
Der Inhalt im Überblick
Aktuelle Rechtslage
Das GDD-Whitepaper beschreibt die gegenwärtige Situation bezüglich transatlantischer Datenexporte sowie die bisherigen Reaktionen und Geschehnisse nach der Entscheidung des Europäischen Gerichtshofs zum Safe Harbor Abkommen. Bereits vor der Entscheidung zu Safe Harbor bestanden Zweifel daran, inwiefern bei Datenexporten in die USA ein angemessenes Datenschutzniveau angenommen werden kann. Nach der Safe Harbor Entscheidung ist die Rechtlage unklar. Eine einheitliche Positionierung der europäischen Aufsichtsbehörden zu den alternativen Übermittlungsmechanismen gibt es bisher nicht. Auch die Kommissionsentscheidung zur Angemessenheit des Nachfolgeabkommen, dem EU-US Privacy Shield, ist noch nicht in Kraft getreten.
Kein Wunder das Unternehmen verunsichert sind, was zulässig ist und was nicht.
Themen des GDD-Whitepapers
Im Fokus des GDD-Whitepapers steht die Nachfolgeregelung des Safe Harbor-Abkommens, das EU-US Privacy Shield. Dabei werden u.a. folgende Aspekte werden beleuchtet
Transparenz
Neben der Veröffentlichung bestehender EU-US Privacy Shield Zertifizierungen soll nunmehr auch unwirksame und entzogene Zertifikate nebst Grund, sowie bei der Federal Trade Commission (FTC) anhängige Verfahren aufgeführt werden. Auch soll das Handelsministerium proaktiv prüfen, ob das jeweilige Unternehmen sich nach Entzug des Zertifikats korrekt verhält.
Beschwerden und Abhilfemaßnahmen
Beschwerden von Betroffenen sollen fristgebunden (innerhalb von 45 Tagen) beantwortet werden. Zudem sollen die europäischen Aufsichtsbehörden in ihren Rechten gestärkt werden.
Onward Transfers
Die Weitergabe von Daten soll im Rahmen des EU-US Privacy Shields strenger behandelt werden. So soll die Weitergabe an eine konkrete Zweckbindung und vertragliche Regelungen geknüpft werden, die den datenschutzkonformen Umgang nach den Vorgaben des Privacy Shields auch in den Empfängerunternehmen sicherstellen soll.
Verwendung von Daten des Privacy Shield für nationale Sicherheit
Bezüglich der Datenverwendung durch Geheimdienste soll ein unabhängiger Ombudsmann für den Datenschutz (Privacy Shield Ombudsperson) eingesetzt werden, der Anfragen von Regierungen aber auch Beschwerden von Betroffenen zum Anlass einer datenschutzrechtlichen Prüfung nehmen soll. Betroffene können sich jedoch nicht direkt an den Ombudsmann wenden, sondern müssen ihre Beschwerden über die nationalen Aufsichtsbehörden an diesen weiterleiten.
Angemessenheitsentscheidung
Eine durch die EU-Kommission getroffene Angemessenheitsentscheidung soll einer jährlichen Prüfung unterzogen und für den Fall, dass die Voraussetzungen nicht mehr zutreffen, widerrufen werden können.
Empfehlungen des GDD-Arbeitskreises
Das Whitepaper endet mit folgenden Empfehlungen an Unternehmen, die Daten in die USA exportieren:
- Abwägung, ob ein Datenexport in die USA weiterhin erfolgen soll oder ggf. auf alternative Möglichkeiten umgestiegen werden kann
- In Erfahrung bringen, wie die jeweils zuständige Aufsichtbehörde die Zulässigkeit alternativer Übermittlungsverfahren beurteilt
- Implementierung zusätzlicher technischer und organisatorischer Maßnahmen wie beispielsweise Verschlüsselung.
- Dokumentation etwaiger Unterauftragnehmerketten, falls das datenimportierende Unternehmen die Daten weitergibt.