26.07.2016

EU-US Privacy Shield tritt in Kraft

Am 12. Juli 2016 hat die Europäische Kommission die Datenschutzregelung „Privacy Shield“ angenommen, welche eine neue rechtliche Grundlage für die Übertragung von personenbezogenen Daten aus der Europäischen Union in die Vereinigten Staaten bestimmt. Die Neuregelung des Privacy Shield wurde erforderlich, als der Europäische Gerichtshof im vergangenen Oktober die Vorgängervereinbarung „Safe Harbor“ für ungültig erklärt hat: Europäische Daten seien in den Vereinigten Staaten nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt. 

Wie Safe Harbor handelt es sich bei Privacy Shield auch um eine Adäquanzentscheidung der EU-Kommission, in der ein angemessener Datenschutz in den USA anerkannt wird. Privacy Shield soll gegenüber dem vorherigen Safe-Harbor-Abkommen ein höheres Datenschutzniveau gewähren, das durch verschiedene Mechanismen abgesichert ist. 

Um den Datentransfer mit dem Privacy Shield abzusichern, müssen sich Unternehmen nunmehr den Privacy Shield-Grundsätzen unterwerfen (wir berichteten). Dies bedeutet, dass Unternehmen sich unter anderem verpflichten, Daten aus der Europäischen Union nur so lange zu speichern, wie es für den Zweck erforderlich ist, zu dem sie ursprünglich gesammelt worden sind. Des Weiteren sollen verschiedene Maßnahmen eine unrechtmäßige Verwendung und Überwachung verhindern. Eine massenhafte Sammlung von Daten von EU-Bürgern durch US-Geheimdienste soll beispielsweise nur zulässig sein, wenn eine gezielte Überwachung von Einzelnen nicht möglich ist. Solche Daten dürfen jedoch nur zur nationalen Sicherheit hinsichtlich Terrorismus, Spionage, etc. verwendet werden. Eine Kontrolle der rechtmäßigen Datenverwendung wird insbesondere durch eine Beschwerde bei einer unabhängigen Ombudsperson im US-Außenministerium ermöglicht. Des Weiteren soll die Regelung Privacy Shieldjährlich überprüft und gegebenenfalls angepasst werden.

Die Angemessenheitsentscheidung der Europäischen Kommission wurde den Mitgliedstaaten zugeleitet, die dem Privacy Shield zugestimmt haben. Damit sind die rechtlichen Vorgaben von Privacy Shield in Kraft getreten. Ab dem 1. August 2016 können sich US-Unternehmen dann vom US-Handelsministerium eine entsprechende Bescheinigung ausstellen lassen. Sobald die US-Unternehmen entsprechend zertifiziert sind, wird fingiert, dass ein angemessenes Datenschutzniveau besteht. Darüber hinaus bedarf es dann keiner weiteren datenschutzrechtlichen Maßnahmen.