Von Franz J. Heidinger / Laurin Maran – Ab heute (01.08.2016) können sich US-Unternehmen beim amerikanischen Handelsministerium in die Privacy Shield Liste eintragen und sich so bescheinigen lassen, dass sie die von der EU-Kommission und Vertretern aus der USA festgelegten datenschutzrechtlichen Prinzipien einhalten.

Als der Gerichtshof der Europäischen Union (GHEU) am 06.10.2015 feststellte, dass das Safe-Harbor-Abkommen keinen angemessenen Datenschutz in den USA gewährleistet, entzog er unzähligen Unternehmen die rechtliche Grundlage für den transatlantischen Datenverkehr. Grundsätzlich bedarf nämlich jeglicher Datentransfer in ein Land außerhalb des europäischen Wirtschaftsraumes der Genehmigung der Datenschutzbehörde. Safe-Harbor war bis zur Entscheidung des GHEU sozusagen die pauschale Genehmigung der EU-Kommission, personenbezogene Daten an zertifizierte US-Unternehmen zu übermitteln.

Nach Monaten der rechtlichen Ungewissheit gibt es nun Ersatz für Safe-Harbor, womit vorerst Rechtsicherheit und eine Grundlage für die genehmigungsfreie Übertragung von personenbezogenen Daten aus der EU in die USA für wirtschaftliche Zwecke geschaffen wurde.

In den USA versteht man die Aufregung in Europa um den Datenschutz eher weniger, hat man dort ja ein völlig anderes Verständnis vom Umgang mit Daten. Natürlich gibt es dort auch Datenschutzgesetze, allerdings werden hauptsächlich sensible Daten, wie zum Beispiel Gesundheitsdaten, geschützt. Da viele US-Unternehmen jedoch ihr Geld mit europäischen Daten verdienen, müssen Sie die europäischen Standards wohl zähneknirschend hinnehmen. Und die Sanktionsdrohung von EUR 20 Millionen oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs als Geldbuße für Verstöße ist durchaus abschreckend.

US-Unternehmen, die in den Genuss des Privacy Shields kommen möchten, müssen sich lediglich beim US-Handelsministerium registrieren und eine Datenschutzerklärung veröffentlichen, die auf den sieben Prinzipien des Privacy Shields beruht. Um nicht wieder von der Liste gelöscht zu werden, müssen sie sich natürlich auch an die Regeln halten, was deutlich komplizierter ist.

So müssen Unternehmen beispielsweise geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz von Daten implementieren. Daten dürfen nur richtig und vollständig verarbeitet werden und der jeweilige Zweck der Verarbeitung muss gewahrt bleiben. Für die Weiterleitung der Daten an ein anderes Unternehmen muss sichergestellt werden, dass auch der Empfänger die datenschutzrechtlichen Bestimmungen einhält. Bürger haben ein Auskunftsrecht bezüglich der über sie gespeicherten Daten und können sich bei der Datenschutzbehörde ihres Heimatstaates beschweren, die dann in Zusammenarbeit mit der US Federal Trade Commission der Beschwerde nachgehen muss.

Das Hauptproblem von Safe-Harbor war das massenhafte und unbegrenzte Sammeln von Daten der EU-Bürger durch US-Behörden. Die Regierung der Vereinigten Staaten hat zwar versprochen, diese „bulk collection“ in Zukunft nur auf bestimmte Fälle zu begrenzen, zum Beispiel wenn die Überwachung eines Einzelnen nicht möglich ist, und die Daten nur zu verwenden, wenn es um die nationale Sicherheit der USA geht, aber Kritiker gehen davon aus, dass sich trotz dessen nichts an der Überwachungspraxis ändern und das Privacy Shield vom Gerichtshof der EU ebenso für ungültig erklärt werden wird.

Für europäische Unternehmen, die sich bei der Datenübertragung in die USA nur auf das Privacy Shield verlassen, birgt das natürlich die Gefahr, bald wieder in die Rechtswidrigkeit zu rutschen. Daher ist es empfehlenswert, sich zusätzlich oder alternativ mit den Standardvertragsklauseln der EU-Kommission oder Binding Corporate Rules abzusichern.

Standardvertragsklauseln bieten die Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer, deren Datenschutzniveau nicht als angemessen anerkannt ist, wie eben die USA. Dafür müssen das Unternehmen in der EU und das Unternehmen, das die Daten empfangen soll, einen Vertrag mit den passenden Standardvertragsklauseln abschließen und die darin enthaltenen Bestimmungen befolgen.

Binding Corporate Rules sind verbindliche und durchsetzbare interne Datenschutzvorschriften, die es multinationalen Konzernen oder Firmengruppen erlauben, innerhalb des Konzerns personenbezogene Daten in Drittstaaten zu transferieren. Binding Corporate Rules müssen jedoch von mehreren europäischen Datenschutzbehörden geprüft und anerkannt werden, was längere Zeit in Anspruch nehmen kann.

Die wohl am einfachsten zu bekommende rechtliche Grundlage für die Übermittlung von Daten ins Ausland ist das Einverständnis der Person, deren Daten übermittelt werden soll. Der Datenverkehr ins Ausland ist nämlich genehmigungsfrei, wenn der Betroffene ohne jeden Zweifel seine Zustimmung dazu gegeben hat.