News

EU-US Privacy Shield: Der Nachfolger von Safe Harbor wurde verabschiedet

13.07.2016

Die EU-Kommission hat im Februar diesen Jahres den Entwurf eines EU-US Privacy Shield als Nachfolger des vom EuGH gekippten Safe Harbor vorgestellt (wir berichteten).

Am 12.07.2016 verabschiedete die Kommission nun offiziell die endgültige Fassung des EU-US Privacy Shield als Angemessenheitsentscheidung nach Art. 25 Abs. 6 der Datenschutzrichtlinie (Richtlinie 95/46/EG).

Nach der Übersetzung des Dokuments in die Amtssprachen der EU und den noch erforderlichen Umsetzungsarbeiten in den USA sollen sich US-Unternehmen ab dem 01.08.2016 in die „Privacy Shield List“ eintragen können.

Verfahrensgang

Als letzter erforderlicher Schritt (wir berichteten) vor der Entscheidung der Kommission erfolgte am 08.07.2016 die Annahme der finalen Fassung des Privacy Shield durch den sog. Artikel-31-Ausschuss.

Kurz vor der Sitzung des Artikel-31-Ausschusses bekräftigte die Artikel-29-Datenschutzgruppe in einer Presseerklärung nochmals ihre Bedenken gegen den ursprünglichen Entwurf und drückte ihre Hoffnung aus, dass die finale Version des Privacy Shield diese Bedenken berücksichtigt. Die Gruppe kündigte zudem an, die Kommissionsentscheidung nach ihrer Verabschiedung baldmöglichst zu prüfen und eine Stellungnahme hierzu abzugeben. Allerdings hat die Artikel-29-Datenschutzgruppe mit Blick auf die Kommissionsentscheidung kein Stimm- oder Vetorecht, sondern nur beratende Funktion.

Tatsächlich wurde das Privacy Shield gegenüber dem ersten Entwurf in einigen Punkten geändert und klarer gefasst. So ist im Rahmen des Zweckbindungsgrundsatzes nun etwa klargestellt, dass die Speicherung personenbezogener Daten grundsätzlich nur so lange zulässig ist, wie dies der Erreichung des Verarbeitungszwecks dient. Außerdem betont die finale Fassung des Privacy Shield deutlicher die Objektivität und Unabhängig des Ombudsmann, der vom US-Department of State eingerichtet wurde und der individuelle Beschwerden von EU-Bürgern behandelt, die befürchten, dass US-Behörden ihre personenbezogenen Daten unrechtmäßig im Rahmen der nationalen Sicherheit verarbeiten.

Nächste Schritte aus Unternehmenssicht

Unternehmen können aller Voraussicht nach ab dem 01.08.2016 den Datentransfer in die USA auf das EU-US Privacy Shield stützen. Hierzu ist, wie nach dem alten Safe Harbor, die Selbstzertifizierung des US-Datenempfängers gegenüber dem US-Department of Commerce erforderlich, die ab diesem Datum möglich sein soll und im Rahmen einer Re-Zertifizierung jährlich zu wiederholen ist.

Datenschutzrechtlich entsteht durch die Selbstzertifizierung auf Seiten des sich zertifizierenden US-Unternehmens ein „angemessenes Datenschutzniveau“ i.S.d. § 4b Abs. 2 BDSG

Allerdings ist es mit Blick auf eine längerfristige Strategie für den internationalen Datentransfer weiter empfehlenswert, auch die anderen Möglichkeiten der Rechtfertigung eines internationalen Datenaustauschs zu berücksichtigen und das für das jeweilige Unternehmen oder das jeweilige Projekt passende Mittel zur Schaffung eines angemessenen Datenschutzniveaus zu evaluieren. Zur Wahl stehen neben dem Privacy Shield wie schon bisher insbesondere EU-Standardvertragsklauseln und Binding Corporate Rules.

Da die Kritik am EU-US Privacy Shield nicht abreißt, ist nicht auszuschließen, dass auch diese neue Angemessenheitsentscheidung der Kommission ebenfalls vom EuGH gekippt wird. Auch das mittelfristige Schicksal der EU-Standardvertragsklauseln ist unklar, da die irische Datenschutzbehörde auch eine Überprüfung der Standardvertragsklauseln durch den EuGH anstrebt.

Kontakt

Daniel Rücker
Daniel Rücker+49 89 28628457

Datenschutz
IT & Outsourcing

Share

Alle anzeigen

Insights

mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024