Die nordrhein-westfälische Datenschutzbeauftragte hat einen Leitfaden für Unternehmen veröffentlicht, der darstellt, welche Anforderungen von deutschen Unternehmen, die mit Hilfe des EU-US Privacy Shields Daten in die USA übermitteln wollen, erfüllt werden müssen.
Zur Erinnerung
Datenübermittlungen in die USA auf Grundlage der EU-Kommissionsentscheidung zu Safe Harbor aus dem Jahr 2000 sind seit Oktober 2015 nicht mehr rechtskonform möglich (wir berichteten). Mit Beschluss vom 12.7.2016 hat die EU-Kommission das Nachfolgeabkommen EU-US Privacy Shield in Kraft gesetzt. Bei Beachtung der Regeln des Privacy Shields spricht die EU-Kommission den danach zertifizierten US-amerikanischen Unternehmen ein angemessenes Datenschutzniveau zu. Die europäischen Datenschutzbehörden begrüßten die darin enthaltenen Verbesserungen gegenüber Safe Harbor, haben aber weiterhin datenschutzrechtliche Bedenken.
Der Leitfaden
In dem in Frage- und Antwortform aufgebauten Leitfaden wird dargestellt, welche Prüfpflichten den deutschen Unternehmen nach Ansicht der nordrhein-westfälischen Datenschutzbeauftragten obliegen, wenn diese Daten an ein US-Unternehmen, das sich auf das Privacy Shield beruft, übermitteln wollen. Demnach muss sich die verantwortliche Stelle vergewissern, ob tatsächlich eine Zertifizierung des US-amerikanischen Unternehmens vorliegt und diese noch gültig ist (das US-Handelsministerium stellt eine offizielle Liste der aktiven zertifizierten sowie inaktiven Unternehmen zur Verfügung) sowie ob die zu übermittelnden Daten von der jeweiligen Zertifizierung abgedeckt sind.
Nicht abschließend
Die Datenschutzaufsichtsbehörde in NRW behält sich explizit vor, die Datenübermittlungen auf Grundlage des Privacy Shields auszusetzen, wenn die zukünftig jährlich vorzunehmende Überprüfung des Shields dazu Gründe liefern sollte.