Die Vereinbarung mit den USA hat das Rechtsetzungsverfahren der EU durchlaufen und soll am morgigen Dienstag, 12.07.2016 in Kraft treten.
Ist der Datenverkehr in die USA jetzt stets möglich?
Nein. Die USA sind weiterhin ein – im datenschutzrechtlichen Sinn – unsicherer Drittstaat. Eine Übermittlung von Daten bedarf der Herstellung eines angemessenen Datenschutzniveaus bei dem datenempfangenden US-Unternehmen. Ein Werkzeug hierfür ist nunmehr aber (auch) das Privacy Shield.
Was ist zu tun, um sich auf das Privacy Shield berufen zu können?
Für einen Datentransfer in die USA mit Hilfe des Privacy Shields ist es erforderlich, dass sich das betroffene US-Unternehmen gemäß dem Privacy Shield zertifizieren lässt. Das Verfahren gleicht stark dem Vorgängerabkommen – Safe Harbor. Das zuständige US-Handelsministerium begleitet die Selbstzertifizierung des Unternehmens und stellt eine im Internet abrufbare Liste der zertifizierten Unternehmen zur Verfügung.
Darüber hinaus sind aber wahrscheinlich noch weiter Maßnahmen erforderlich, die auch nach Safe Harbor von den Aufsichtsbehörden gefordert wurden. Bisher fehlt es an eine Prüfung bzw. Stellungnahme der nationalen Aufsichtsbehörden, ob die Änderungen am Zertifizierungsverfahren hinsichtlich einer flächendeckenden Kontrolle durch die US-Unternehmen ausreichend sind. Nach dem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom 28./29. April 2010 (Düsseldorfer Kreis) war die Selbst-Zertifizierung nach dem Safe Harbor-Abkommen nicht nur festzustellen, sondern auch anhand folgender Kriterien zu prüfen:
- Gültigkeit der Zertifizierung (Prüfung der oben genannten Liste),
- Nachweis über die Einhaltung der Informationspflichten gegenüber den Betroffenen (z.B. Informationen über den Zweck der Datenverarbeitung und die Weitergabe der Daten an Dritte Kontaktangaben für Nachfragen oder Beschwerden etc.),
Diese Prüfung war zu dokumentieren.
Es ist zu empfehlen, diese Prüfung auch bei dem Privacy Shield durchzuführen – jedenfalls solange es an einer klaren Positionierung der Aufsichtsbehörden zum Privacy Shield fehlt. Zudem sollte die Re-Zertifizierung des betroffenen US-Unternehmens zumindest jährlich kontrolliert werden.
Eine Abstimmung der Aufsichtsbehörden auf europäischer Ebene findet derzeit statt. Der Hamburgische Datenschutzbeauftragte, Johannes Caspar, hat angemerkt, dass die genauen inhaltlichen Fragen auf Ebene der Artikel-29-Gruppe erst geklärt werden und er einer gemeinsamen Linie hier nicht vorgreifen wolle. Wir halten Sie hierzu auf dem Laufenden.
Reicht das Privacy Shield für eine Datenübermittlung in die USA aus?
Nein – und zwar aus zwei Gründen:
Zum einen reißt die Kritik am Abkommen nicht ab, wir hatten berichtet. Es ist daher davon auszugehen, dass auch das Privacy Shield bald einer gerichtlichen Überprüfung zugeführt wird. Sofern eine längere Kooperation mit einem US-Unternehmen geplant ist, ist es daher ratsam, weiterhin zusätzlich die EU-Standardverträge abzuschließen.
Zum anderen muss – unabhängig von dem Problemkreis USA – auch weiterhin jede Übermittlung der Daten an sich noch gerechtfertigt werden und aufgrund einer Rechtsgrundlage zulässig sein. Hierbei können die Art der übermittelten Daten, der Zweck der Übermittlung, die getroffenen IT-Sicherheitsmaßnahmen einschließlich Verschlüsselung und Pseudonymisierung sowie der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung eine entscheidende Rolle spielen.
Fraud Management: Ein Thema aus der Sicht des Händlers
18. September 2017 @ 9:13
[…] ist noch immer nicht rechtsverbindlich geklärt, wie ein entsprechender Datenaustausch mit US-Unternehmen zu bewerten […]
Anonymous
11. August 2016 @ 13:39
Vielen Dank für die erläuternde Klarstellung.
Anonymous
4. August 2016 @ 14:07
Sehr geehrte(r) Herr Schmidt / Frau Losch. Sie schreiben im letzten Absatz, dass die Übermittlung an sich, nach dem zweistufigen Prüfprinzip, ebenfalls gerechtfertigt, also zulässig sein muss. Eine entscheidene Rolle soll dabei auch der Abschluss einer Auftragsdatenverarbeitung spielen. Im Kontext der Beurteilung, ob eine Übermittlung an sich zulässig wäre, spielt jedoch eine Auftragsdatenverarbeitung als Kriterium eher keine Rolle. Eine Datenübermittlung ist keine Auftragsdatenverarbeitung, da die ADV insofern privilegiert wird und es sich dabei nicht um einen Weitergabe von Daten an Dritte handelt. Sofern der letzte Abschnitt anders zu verstehen war, würde ich mich über eine Klarstellung freuen.
Felix Schmidt
9. August 2016 @ 9:46
Vielen Dank für Ihren Beitrag. Sie führen – völlig korrekt – aus, dass eine Übermittlung keine Auftragsdatenverarbeitung sei. Die von uns im letzten Absatz gemachten Ausführungen zum Abschluss eines Vertrag zur Auftragsdatenverarbeitung bezüglich einer Übermittlung sollten auch nichts Gegenteiliges feststellen. Wir wollten zum Ausdruck bringen, dass der Abschluss eines Vertrages zum Schutz der Daten wie ein Vertrag zur Auftragsdatenverarbeitung o.Ä. eine entscheidende Rolle spielen kann, wenn es um die Prüfung der Zulässigkeit einer Übermittlung und der diesbezüglichen Interessenabwägung geht: Da die Aufsichtsbehörden die Weitergabe von Daten in einen Drittstaat immer als Übermittlung einstufen, wird im Rahmen der Rechtfertigung dieser Übermittlung, z.B. gemäß § 28 Absatz 1 Satz 1 Nr. 2 BDSG, zumeist eine Interessenabwägung vorzunehmen sein. Der Abschluss von strengen Datenschutzverträge, die den Vorgaben des § 11 BDSG entsprechen oder ähneln, kann dabei ausschlaggebend sein (vgl. in diesem Zusammenhang auch Ziff. 3.2 des Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der Landesdatenschutzbeauftragten: https://www.datenschutz.hessen.de/bd001.htm#fn20, „Bei der gebotenen sorgfältigen Abwägung unter Berücksichtigung der Umstände können besondere Verträge und Konzernregelungen eine Rolle spielen.“).