Kommentar von Neil Watkins, Epiq Sytems

Big-Data-Transfer unter dem EU-U.S. Privacy Shield

| Autor / Redakteur: Neil Watkins / Nico Litzel

Der Autor: Neil Watkins ist Head of Security and Compliance bei Epiq Systems
Der Autor: Neil Watkins ist Head of Security and Compliance bei Epiq Systems (Bild: Epiq Systems)

Im Juli 2016 trat das EU-U.S. Privacy Shield in Kraft. Als Nachfolger des Safe-Harbor-Abkommens, das im Oktober 2015 außer Kraft gesetzt wurde, regelt es den Transfer persönlicher Daten über den Atlantik. Für Unternehmen bedeutet das, dass sie sich beim grenzübergreifenden Management von Big Data mit einem neuen Regelwerk auseinandersetzen und einem neuen Normenkatalog entsprechen müssen.

Das Safe-Harbor-Abkommen war seit seinem Inkrafttreten immer wieder kritisiert worden. Angeprangert wurde dabei vor allem, dass US-Unternehmen sich selbst zertifizieren konnten, und dass die Bundeshandelskommission (Federal Trade Commission, FTC), die Safe Harbor überwachen sollte, nicht angemessen stringent agierte. Diese Kontroverse hatte seit Jahren gegärt, nicht zuletzt infolge der Enthüllungen des Whistleblowers und ehemaligen NSA-Agenten Edward Snowden. Diese führten letztendlich dazu, dass die Europäische Kommission dazu aufrief, die Vereinbarung zu überprüfen.

Im Oktober 2015 erklärte der Europäische Gerichtshof das Safe Harbor-Abkommen für ungültig. Infolgedessen galten personenbezogene Daten, die von EU-Mitgliedstaaten gemäß Safe Harbor in die USA transferiert wurden, nicht mehr als ausreichend geschützt. Rund 4.500 Unternehmen, die sich gemäß Safe Harbor selbst zertifiziert hatten, waren davon betroffen.

Umgehendes Handeln wurde erforderlich. Die EU-Datenschutz-Behörden, die sich in der Arbeitsgruppe Datenschutz gemäß Artikel 29 zusammenschlossen, setzten eine Frist bis zum 31. Januar 2016. Bis dahin sollte der jetzt ungültige Mechanismus ersetzt werden. Die EU und das US-Handelsministerium waren aufgefordert, eine neue Lösung zu finden.

Die Einführung des EU-US Privacy Shield

Am 2. Februar 2016 einigten sich die Europäische Kommission und das US-Handelsministerium auf eine Neuregelung des transatlantischen Datentransfers. Das sogenannte EU-U.S. Privacy Shield wurde vom Ausschuss nach Artikel 31 (ursprünglich gemäß Richtlinie 95/46/EC eingerichtet) unter Einschluss von Vertretern der EU-Mitgliedstaaten am 8. Juli 2016 bestätigt. Am 12. Juli 2016 verabschiedete die Europäische Kommission das Abkommen offiziell [PDF].

Während die Angemessenheitsentscheidung der Europäischen Kommission sofortige Gültigkeit hat, hatten US-amerikanische Unternehmen noch bis zum 1. August 2016 Zeit, um die Anforderungen des neuen Regelwerks überprüfen, bevor sie sich registrieren und gemäß dem Privacy Shield selbst zertifizieren. Sie haben dann eine neunmonatige Schonfrist bis April 2017, um die relevanten Compliance-Anforderungen umzusetzen.

Grundsätzlich sieht die Europäische Kommission, das neue Privacy-Shield-Rahmenwerk als adäquat für den Transfer personenbezogener Daten zwischen EU-Mitgliedstaaten und den USA an.

Gemäß dem US-Handelsministerium bedeutet das EU-US Privacy Shield eine „erneute Datenschutzverpflichtung zwischen der EU und den USA“. Um sicherzustellen, dass die Rahmenvereinbarung nicht an Relevanz einbüßt, werden das Handelsministerium, die FTC und die EU-Datenschutzbehörden (Data Protection Authorities, DPA) jährliche Überprüfungstagungen durchführen, um Funktionalität und Compliance mit dem Privacy Shield zu diskutieren. Dadurch sollen die Zusammenarbeit zwischen der FTC und den EU DPAs gestärkt und die verlässliche Durchsetzung der Datenschutzanforderungen erreicht werden.

Anforderungen an teilnehmende Unternehmen

Um dem EU-U.S. Privacy Shield beizutreten müssen US-amerikanische Firmen sich registrieren und gegenüber dem US-Handelsministerium selbst zertifizieren. Damit verpflichten sie sich, den Anforderungen des neuen Rahmenwerks zu entsprechen. Die Anforderungen an die teilnehmenden Unternehmen umfassen unter anderem:

  • Bekanntmachung: Teilnehmer müssen ihre Datenschutzrichtlinien überprüfen, aktualisieren und online publizieren; sie müssen sich dazu verpflichten, dem Privacy Shield und den mit dem Rahmenwerk einhergehenden Benachrichtigungsanforderungen zu entsprechen.
  • Streitbeilegung: EU-Bürger können direkt bei einem Teilnehmer Beschwerde bezüglich der Verarbeitung ihrer Daten einlegen; betroffene Unternehmen müssen innerhalb von 45 Tagen darauf antworten; die Teilnehmer müssen – kostenfrei für den EU-Bürger – eine unabhängige Instanz für Ermittlungen in Beschwerdefällen einrichten; wenn solche Beschwerden nicht anderweitig behoben werden können, müssen Teilnehmer sich einem verbindlichen Schiedsgerichtsverfahren stellen, falls dies von dem EU-Bürger gefordert wird.
  • Kooperation mit dem Handelsministerium: Teilnehmer müssen mit dem US-Handelsministerium kooperieren und zur Beilegung von Beschwerden umgehend beitragen; solche Beschwerden können von einem EU-Bürger oder durch die lokalen Datenschutzbehörden eingereicht werden.
  • Zweckbindung: Ahnlich wie bereits unter dem Safe Harbor-Abkommen dürfen Teilnehmer nur solche personenbezogenen Daten weiter verarbeiten, die dem ursprünglichen Zweck entsprechen, zu dem die Daten erhoben wurden (sofern anschließende Zustimmung des Individuums nicht vorliegt).
  • Weiterübermittlung: Teilnehmer müssen vertragliche Vereinbarungen mit Drittparteien treffen, um Einhaltung des Privacy-Shield-Rahmenwerks und seiner Prinzipien sicherzustellen; das schließt die Einwilligung des EU-Bürgers bezüglich der Verarbeitung persönlicher Daten ein.
  • Zugang: EU-Bürger haben ein Recht darauf zu erfahren, ob Teilnehmer ihre personenbezogenen Daten verarbeiten; diese können unter bestimmten Umständen geändert, korrigiert oder gelöscht werden (z. B. wenn die Daten nicht korrekt sind oder in Verletzung des Privacy Shield verarbeitet werden).

Sobald sich eine US-amerikanische Firma dem Privacy Shield verpflichtet hat, wird diese Verpflichtung vollstreckbar gemäß US-Gesetzgebung. Sie bleibt einklagbar bezüglich jeglicher personenbezogener Daten, die während der Phase der Selbstzertifizierung verarbeitet werden, selbst wenn eine Firma am Ende doch nicht teilnimmt.

Praxisleitlinien

Das Privacy-Shield-Rahmenwerk verbessert die Transparenz über die Nutzung personenbezogener Daten und stärkt den Datenschutz, der durch die teilnehmenden Unternehmen gewährt werden muss. Nichtsdestotrotz gibt es einige Kritikpunkte. So bestehen Einwände bezüglich des ungehinderten Zugriffs auf Konsumentendaten durch Nachrichtendienste und Strafverfolgungsbehörden. Da das Programm im Jahresturnus überprüft werden soll, besteht außerdem Sorge darüber, dass das Gesetz regelmäßig geändert oder – wie im Fall von Safe Harbor – ungültig erklärt werden könnte.

Das EU-US Privacy Shield wird deshalb mit großer Wahrscheinlichkeit noch von Aktivisten in Frage gestellt werden und Europäische Gerichte (einschließlich des Europäischen Gerichtshofs) werden sich noch ausgiebig damit auseinandersetzen müssen. Weitere Fragen rund um Datenschutz und Compliance zwischen der EU und den USA werden sich auch um die Auswirkungen des „Brexit“ sowie die Implementierung der EU Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, drehen.

Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen eine Datenschutz-Verträglichkeitsprüfung vornehmen und analysieren, welche personenbezogenen Daten gesammelt, genutzt, verarbeitet und geteilt werden. Zudem müssen sie Compliance-Lücken erkennen und in angemessener Weise beseitigen. Vorausschauendes Risikomanagement muss den Horizont der kommenden drei Jahre in Betracht ziehen. Betroffene Firmen müssen darüber hinaus einen robusten Plan für den Transfer personenbezogener Daten von EU-Bürgern entwickeln und implementieren. Dieser sollte Notfallmechanismen enthalten, falls sich rechtliche Situation plötzlich ändert.

Die Arbeitsgruppe Datenschutz (Artikel 29) hat bestätigt, dass Musterverträge oder verbindliche unternehmensinterne Vorschriften über den Transfer personenbezogener Daten von der EU in die USA nach wie vor Gültigkeit haben. Unternehmen, deren Geschäftstätigkeit einen solchen Datentransfer beinhaltet, sollten ihre Richtlinien und Verfahren insbesondere hinsichtlich der neuen Datenschutz-Grundverordnung überprüfen, da dies nicht nur Auswirkungen auf Firmen innerhalb der EU haben wird sondern auch auf solche, die mit EU-Konsumenten Geschäfte tätigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44279632 / Recht & Sicherheit)