Die Vereinbarung mit den USA hat das Rechtsetzungsverfahren der EU durchlaufen und soll am morgigen Dienstag, 12.07.2016 in Kraft treten.

Ist der Datenverkehr in die USA jetzt stets möglich?

Nein. Die USA sind weiterhin ein – im datenschutzrechtlichen Sinn – unsicherer Drittstaat. Eine Übermittlung von Daten bedarf der Herstellung eines angemessenen Datenschutzniveaus bei dem datenempfangenden US-Unternehmen. Ein Werkzeug hierfür ist nunmehr aber (auch) das Privacy Shield.

Was ist zu tun, um sich auf das Privacy Shield berufen zu können?

Für einen Datentransfer in die USA mit Hilfe des Privacy Shields ist es erforderlich, dass sich das betroffene US-Unternehmen gemäß dem Privacy Shield zertifizieren lässt. Das Verfahren gleicht stark dem Vorgängerabkommen – Safe Harbor. Das zuständige US-Handelsministerium begleitet die Selbstzertifizierung des Unternehmens und stellt eine im Internet abrufbare Liste der zertifizierten Unternehmen zur Verfügung.

Darüber hinaus sind aber wahrscheinlich noch weiter Maßnahmen erforderlich, die auch nach Safe Harbor von den Aufsichtsbehörden gefordert wurden. Bisher fehlt es an eine Prüfung bzw. Stellungnahme der nationalen Aufsichtsbehörden, ob die Änderungen am Zertifizierungsverfahren hinsichtlich einer flächendeckenden Kontrolle durch die US-Unternehmen ausreichend sind. Nach dem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom 28./29. April 2010 (Düsseldorfer Kreis) war die Selbst-Zertifizierung nach dem Safe Harbor-Abkommen nicht nur festzustellen, sondern auch anhand folgender Kriterien zu prüfen:

  • Gültigkeit der Zertifizierung (Prüfung der oben genannten Liste),
  • Nachweis über die Einhaltung der Informationspflichten gegenüber den Betroffenen (z.B. Informationen über den Zweck der Datenverarbeitung und die Weitergabe der Daten an Dritte Kontaktangaben für Nachfragen oder Beschwerden etc.),

Diese Prüfung war zu dokumentieren.

Es ist zu empfehlen, diese Prüfung auch bei dem Privacy Shield durchzuführen – jedenfalls solange es an einer klaren Positionierung der Aufsichtsbehörden zum Privacy Shield fehlt. Zudem sollte die Re-Zertifizierung des betroffenen US-Unternehmens zumindest jährlich kontrolliert werden.

Eine Abstimmung der Aufsichtsbehörden auf europäischer Ebene findet derzeit statt. Der Hamburgische Datenschutzbeauftragte, Johannes Caspar, hat angemerkt, dass die genauen inhaltlichen Fragen auf Ebene der Artikel-29-Gruppe erst geklärt werden und er einer gemeinsamen Linie hier nicht vorgreifen wolle. Wir halten Sie hierzu auf dem Laufenden.

Reicht das Privacy Shield für eine Datenübermittlung in die USA aus?

Nein – und zwar aus zwei Gründen:

Zum einen reißt die Kritik am Abkommen nicht ab, wir hatten berichtet. Es ist daher davon auszugehen, dass auch das Privacy Shield bald einer gerichtlichen Überprüfung zugeführt wird. Sofern eine längere Kooperation mit einem US-Unternehmen geplant ist, ist es daher ratsam, weiterhin zusätzlich die EU-Standardverträge abzuschließen.

Zum anderen muss – unabhängig von dem Problemkreis USA – auch weiterhin jede Übermittlung der Daten an sich noch gerechtfertigt werden und aufgrund einer Rechtsgrundlage zulässig sein. Hierbei können die Art der übermittelten Daten, der Zweck der Übermittlung, die getroffenen IT-Sicherheitsmaßnahmen einschließlich Verschlüsselung und Pseudonymisierung sowie der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung eine entscheidende Rolle spielen.