Die Übermittlung personenbezogener Daten in die USA wird von Datenschützern seit jeher kritisiert. Das sog. Safe-Harbor-Abkommen, welches den Datentransfer früher ermöglichte, wurde vom EuGH am 06. Oktober 2016 gekippt. Die Nachfolgeregelung, der sog. EU-US Privacy Shield, ließ ein knappes Jahr auf sich warten. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) forderte nun auch dessen Aussetzung zum 01. September 2018, sofern sich die EU mit den USA nicht auf einen effektiveren Datenschutz einigt.
Der Inhalt im Überblick
Was ist der EU-US Privacy Shield?
Der EU-US Privacy Shield ist der erste Angemessenheitsbeschluss (Art. 45 DSGVO) nach der politischen Verabschiedung der Datenschutz-Grundverordnung. Er wurde von der Kommission beschlossen und ermöglicht es US-Unternehmen sich auf der Privacy-Shield-Liste des US-Handelsministeriums einzutragen. Stellt der Datenexporteur aus der EU sicher, dass das Unternehmen in der Privacy-Shield-Liste aufgenommen wurde und ggf. auch die Zertifizierung für Beschäftigtendaten umfasst ist, kann der Datentransfer ohne besondere Genehmigung erfolgen.
Warum steht der EU-US Privacy Shield in der Kritik?
Wie aus dem Bericht der Artikel-29-Datenschutzgruppe aus November letzten Jahres ersichtlich, ist die Liste der Kritikpunkte am EU-US Privacy Shield lang. Insbesondere wird kritisiert, dass nicht zuverlässig festgestellt werden kann, dass die US-Behörden nicht weiterhin fleißig Daten von EU-Bürgern sammeln können und dass bis heute keine permanente Ombudsperson für Beschwerden von EU-Bürgern benannt wurde. Die Ombudsperson gelte aber auch ohnehin nicht als unabhängig, dafür aber als ineffizient.
Neben dem Facebook-Cambridge-Analytica-Skandal hat auch der sog. Cloud Act die Debatte um den Datentransfer in die USA weiter entflammt. Warum der Cloud Act sowohl US-Unternehmen, als auch Verantwortliche im Sinne der DSGVO in Schwierigkeiten bringen kann, können Sie am Beispiel zu Office 365 im unserem Blog nachlesen.
Das Aus für Datentransfers in die USA?
Zunächst die gute Nachricht… Selbst bei Wegfall des EU-US Privacy Shield wird der Einsatz von US-Dienstleistern bei der damit einhergehenden Übermittlung personenbezogener Daten in die USA nicht völlig unmöglich.
Allerdings ist es nicht ganz unwahrscheinlich, dass der EU-US Privacy Shield in nächster Zeit kippen könnte. Zum einen hat die LIBE das Parlament gebeten, die Kommission per Beschluss aufzufordern den EU-Privacy Shield zu überarbeiten und neu zu verhandeln, was sich bei der aktuellen politischen Lage äußerst schwierig gestalten dürfte. Zum anderen wird sich auch der EuGH in dem Verfahren zwischen Max Schrems und Facebook mit der Wirksamkeit des EU-US Privacy Shield beschäftigen. Ein Urteil, dass den EU-US Privacy Shield kippt, gilt als nicht unwahrscheinlich.
Bleiben aber noch die geeigneten Garantien des Art. 46 DSGVO, die den Datentransfer in Drittländer wie die USA auch ohne Angemessenheitsbeschluss ermöglichen. Als in der Praxis besonders gut umsetzbar gelten dabei die sog. EU-Standarddatenschutzklauseln.
Was sollten EU-Unternehmen beachten?
Bereits seit Wirksamwerden EU-US Privacy Shield sind Unternehmen gut beraten die EU-Standarddatenschutzklauseln mit US-Anbietern abzuschließen. Auf diese Weise erlangen EU-Unternehmen eine weitere Sicherheit für die Rechtmäßigkeit der Übermittlung. Große Anbieter wie Google, Amazon oder Microsoft stellen die Vereinbarung online zur Verfügung.
Und dennoch heißt es auch weiter wachsam sein, denn selbst die bislang als bestes Mittel geltenden Standarddatenschutzklauseln stehen in der Kritik und werden vom EuGH im Verfahren Schrems gegen Facebook auf ihre Wirksamkeit hin geprüft.
Update: Mittlerweile hat der EuGH das Privacy Shield für ungültig erklärt. Mehr dazu lesen Sie hier.
Auf welcher Rechtsgrundlage erheben Sie weiterhin zwingend die E-Mail-Adresse aller Kommentatoren? Inwieweit ist dies zwingend erforderlich zur Erbringung des genannten Dienstes der Informationsgesellschaft?
Ich bin gespannt ob Sie diesen Kommentar freischalten und antworten und wie lange Sie dafür brauchen. (14.06.2018 – 18:20 Uhr)
Immer wenn personenbezogene Daten erfasst werden und man sich fragt, warum eigentlich, sollte man in die Datenschutzerklärung schauen. Wenn Sie weitere Fragen haben, können Sie sich an den Datenschutzbeauftragten wenden, der für solche Fälle zuständig ist. (Off-Topic)
Wirklich sehr guter Beitrag. Ich denke das es vielen Unternehmen egal ist wer, wann , welche Vorschriften aufstellt. Am Ende kan doch niemand wirklich kontrollieren wer welche Daten über einen hat bzw weiter gibt. Am Ende lachen sich die Leute doch bei Google und Co. kaputt weil sie einfach weiter machen wie bisher, nur eben ein wenig versteckter