th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-US-Privacy Shield

Datenverkehr mit den USA - Was ist neu?

Kurzüberblick

Am 12. Juli 2016 hat die Europäische Kommission nach langen Verhandlungen den Safe Harbor Nachfolger, das EU-US-Datenschutzschild („EU-US-Privacy Shield“), angenommen. Das Safe-Harbor–Abkommen war eine im Jahr 2000 abgeschlossene Vereinbarung zwischen der Europäischen Union (EU) und den USA, welche die Übermittlungsmöglichkeit personenbezogener Daten von der EU in die USA festlegte. Mit dem Privacy Shield wird der Kritik des Europäischen Gerichtshofs (EuGH) Rechnung getragen, der in seinem Urteil vom 6. Oktober 2015 in der Rechtssache Schrems / Data Protection Commissioner die bis dahin geltende Safe-Harbor-Regelung für ungültig erklärt hatte.

Die neue sogenannte Angemessenheitsentscheidung der Kommission, mit der festgestellt wird, dass die USA ein angemessenes Datenschutzniveau für den Datentransfer aus der Union an US-Unternehmen, die sich diesem „Privacy Shield“ unterwerfen, gewährleisten, ist nun in Kraft.

US-Unternehmen haben wieder die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichten.

Seit dem 1. August 2016 können vom US-Handelsministerium Bescheinigungen an diese US-Unternehmen ausgestellt werden, dh der Datentransfer in die USA ist wieder einfacher ohne vorherige Genehmigung zu handhaben. Für österreichische Unternehmer, welche Daten an diese US-Unternehmen übermitteln oder überlassen, kann das eine große Erleichterung darstellen, da eine vorherige Genehmigung der Datenschutzbehörde entfällt.

Achtung
Nur eingetragene („zertifizierte“) Unternehmen sind vom Datenschutzschild erfasst! Für den Datentransfer an nicht in die Liste eingetragene Unternehmen müssen nach wie vor andere Grundlagen der Übermittlung gefunden werden (z.B. unter Verwendung von Standardvertragsklauseln, siehe auch „Datenverkehr mit dem Ausland“).

Was sind die wesentlichsten Neuerungen gegenüber Safe Harbor?

  • Strengere Auflagen für Unternehmen, die Daten verarbeiten: Auch bei Safe Harbor gab es grundsätzliche Auflagen für US-Unternehmen. Deren Überprüfung war jedoch fragwürdig. Nun wurde verankert, dass das US-Handelsministerium die Liste der teilnehmenden Unternehmen regelmäßig von Amts wegen überprüfen und aktualisieren wird (auch unter Berücksichtigung der notwendigen jährlichen Erneuerung der Zertifizierung) um Regelkonformität feststellen zu können. Unternehmen, die sich nicht an die Vorgaben halten, droht die Streichung von der Liste. Auch müssen sie die zu verarbeitenden Daten löschen, sollte keine andere Grundlage für diese Datenverarbeitung bestehen. Das US-Handelsministerium wird auch eine Liste derjenigen Unternehmen veröffentlichen, die nicht mehr in der Privacy List registriert sind. Neu sind auch die klareren, strengen Regelungen für die Weitergabe der Daten von US-Unternehmen an Dritte.

  • Schutzvorkehrungen und Transparenzpflichten beim Datenzugriff durch US-Behörden: Die USA haben zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung eindeutiger Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird.

In diesem Zusammenhang wurden auch die Rechtschutzmöglichkeiten gegen vermeintlich unrechtmäßige Überwachung aufgelistet, worunter sich u.a. auch die Einrichtung des neuen Ombudsmannes im Außenministerium findet. Dieser hat bei jedem Beschwerdefall von Betroffenen unabhängig und selbstständig zu prüfen, ob eine Verletzung der Rechte der betroffenen Person begangen wurde oder nicht.

  • Rechtsschutz innerhalb des Privacy Shield gegen das selbstzertifizierte US-Unternehmen: Betroffene können u.a. das Unternehmen selbst konfrontieren (welches innerhalb von 45 Tagen eine entsprechende Antwort zu erstellen hat), ein unabhängiges Streitbeilegungsverfahren einleiten, können sich aber auch an die nationalen Datenschutzbehörden wenden, die dann gemeinsam mit der Federal Trade Commission der Beschwerde nachgehen. Als letztes mögliches Rechtsmittel steht ein Schiedsverfahren zur Verfügung.
  • Jährliche und regelmäßige Überprüfung des Privacy Shield: Die Europäische Kommission verpflichtet sich, die Bestimmungen und Anforderungen an das Privacy Shield zumindest jährlich, bei Vorliegen neuer Informationen rascher, zu überprüfen und anzupassen. Auch die Aussetzung von Teilen des Schildes oder des gesamten Privacy Shields ist möglich.

Pflichten der US-Unternehmen

Selbstzertifizierung:

Die US-Unternehmen haben sich nun mit den neuen Bestimmungen und Vorgaben vertraut zu machen und diese zu implementieren, v.a. sind die Prinzipien des Privacy Shields nachweislich einzuhalten. Ab dem 1. August 2016 wurden dann die ersten Eintragungen in die Privacy List vom Department of Commerce, dem US-Handelsministerium, bescheinigt. Diese Selbstzertifizierung wird sofort wirksam.

Es gab auch Übergangsregelungen für Unternehmen, welche bereits in einer Vertragsbeziehung mit Datentransfer mit der EU stehen und sich innerhalb von zwei Monaten nach Inkrafttreten des Privacy Shields in die Liste eingetragen haben möchten. Diese hatten/ haben schnellstmöglich, spätestens innerhalb von Monaten ab dem Registrierungszeitpunkt, die Privacy-Shield-Prinzipien zu erfüllen. 

Selbst wenn Unternehmen sich von der Liste löschen lassen oder gelöscht werden, haben sie weiterhin ein adäquates Datenschutzlevel zu garantieren oder die Daten zu löschen.  

Prinzipien/ Vorgaben des Privacy Shield:

  • Informations- oder Mitteilungspflicht: Die Unternehmen haben den Betroffenen Informationen zur Verfügung zu stellen (zB Kategorien an Daten, welche verarbeitet werden, Zweck der Verarbeitung, Haftung des Unternehmens, die jeweiligen Rechte der Betroffenen, usw). Weiters sind die Privacy Policies der Unternehmen und ein Link zum Department of Commerce, zur Privacy List und zur Website eines alternativen Streitbeilegungsanbieters zu veröffentlichen.

  • Datenintegrität und Zweckbindung: Unternehmen haben die Daten u.a. richtig und vollständig zu verarbeiten, dies immer mit dem jeweiligen Verarbeitungszweck im Auge.

  • Wahlprinzip: Sollten die Daten außerhalb des ursprünglichen Zweckes verwendet werden, so kann der Betroffene widersprechen (opt out).

  • Sicherheit: Es sind vernünftige und angemessene Sicherheitsmaßnahmen zum Schutz der Daten im Unternehmen einzuführen.

  • Zugangsprinzip: Den Betroffenen muss Zugang zu den Daten gewährleistet werden (Ausnahmen bestehen, sofern die legitimen Interessen Dritter verletzt werden würden oder geheime unternehmensinterne Informationen veröffentlicht werden würden. Die Beweislast für das Vorliegen einer Ausnahme trägt allerdings das Unternehmen). Ebenso können sie die Daten korrigieren oder löschen, wenn sie unwichtig sind oder entgegen dem Prinzipien verarbeitet wurden.

  • Wiedergutmachungsmechanismen: Durch das Regress-, Vollzugs- und Haftungsprinzip soll v.a. gewährleistet werden, dass Betroffene auch tatsächlich zu ihrem Recht kommen. Unternehmen müssen ein (für Betroffene kostenloses) internes Beschwerdemanagement inkl Kontaktperson zu erstellen, können zudem freiwillig mit den Aufsichtsbehörden der Mitgliedstaaten zusammen arbeiten. 

Das System ist zweistufig ausgebaut:

  1. Die Betroffenen wenden sich direkt an das Unternehmen, welches 45 Tage Zeit hat um die Anfrage zu beantworten.
  2. Sollte hier keine Lösung erzielt werden, können sich Betroffene mit ihrer Beschwerde an eine vom Unternehmen genannte unabhängige Streitschlichtungsstelle (kostenlos) bzw an ihre nationalen Datenschutzbehörden wenden. Diese können die Beschwerde auch an das Handelsministerium bzw die Federal Trade Commission (FTC) zur Überprüfung weiterleiten.

Wird weiterhin keine Lösung erzielt und handelt es sich um eine Verletzung der Privacy Shield-Prinzipien, kann sich der Betroffene über seine nationalen Datenschutzbehörden bzw das Handelsministerium an das Privacy Shield Panel wenden. Weiters könnten sich noch Rechtsbehelfe aus US tort law und aus dem Zivilrecht ergeben.

  • Rechenschaftsablegung für Weiterleitung der Daten: Die Weitergabe der Daten an Dritte bzw an Dienstleister muss schriftlich festgehalten werden und die jeweiligen Grundsätze und Prinzipien der Verarbeitung gewährleisten. 

Vertragliche Bindung bei Inanspruchnahme von Dienstleistern in den USA

Zwischen den US- und den EU-Unternehmen ist ein Vertrag zu schließen, wenn Daten in den USA für das EU-Unternehmen verarbeitet werden sollen. Das US-Unternehmen wird in diesem dazu verpflichtet, auf Weisung des EU-Auftraggebers zu arbeiten, es hat diesem bei der Beantwortung von Ansprüchen von Betroffenen zu helfen und geeignete und vernünftige Datensicherheitsmaßnahmen zu implementieren.  

Schiedsgericht

Als Schiedsgericht wird das Privacy Shield Panel eingerichtet. Die Parteien können Schiedsrichter aus einer von den USA und der EU gemeinsam erstellten Liste von 20 Schiedsrichtern wählen, welche auf 3 Jahre bestellt werden, unabhängig sind, im US-Recht ausgebildet und Expertise im europäischen Datenschutz haben.

Das Schiedsgericht kann erst angerufen werden, wenn die Beschwerde bereits 1. an das Unternehmen selbst, 2. im Rahmen des Wiedergutmachungsverfahrens (Streitbeilegungsverfahrens) zu lösen versucht wurde und 3. der Anspruch über die nationale Datenschutzbehörde bereits ans Handelsministerium herangetragen und auch dort keine Lösung gefunden werden wurde.

Entscheidungen des Schiedsgerichts sind für beide Parteien bindend, es besteht aber die Möglichkeit einer gerichtlichen Nachprüfung bzw der Vollstreckung der Entscheidung durch das Gericht nach dem Federal Arbitration Act. Kosten des Verfahrens werden durch einen Fond getragen, in welchen die US-Unternehmen einen entsprechenden Beitrag einzahlen. 

Ombudsmann

Im US-Außenministerium wird eine neue Stelle des Ombudsmanns eingerichtet, welcher unabhängig von den Geheimdiensten direkt dem Außenminister berichtet und für Anfragen/ Beschwerden zur Überwachungspraxis der USA direkt zuständig ist. Er arbeitet direkt mit den zuständigen Behörden zusammen und steht mit diesen im Informationsaustausch.

Beschwerden werden über die Aufsichtsbehörden der Mitgliedstaaten bzw über eine zentrale Stelle in der EU („EU individual complaint handling body“) an den Ombudsmann herangetragen. Der Ombudsmann hat innerhalb einer angemessenen Frist zu antworten, dass die Beschwerde ordnungsgemäß geprüft wurde und dass die US-Behörden rechtmäßig gehandelt haben oder – sofern das nicht der Fall war – dass die Rechtmäßigkeit hergestellt wurde.  

Vorteil von Privacy Shield

Ein wesentlicher Vorteil des Privacy Shields ist, dass der Datenverkehr mit den zertifizierten US-Unternehmen ohne vorhergehende Genehmigung durch die Datenschutzbehörde (wieder) möglich ist.

Im Vergleich zum bisherigen Safe Harbor lassen sich sehr viele Verbesserungen bzw Anstrengungen der USA erkennen, die Datenschutzvorgaben zu erfüllen. Nicht ausgeschlossen ist jedoch, dass Privacy Shield wieder vom EuGH überprüft wird, welcher auch dieses für ungültig erklären könnte. Es besteht bis zu diesem Grad Rechtsunsicherheit, ob das Privacy Shield tatsächlich dauerhaft hält und Schutz bietet. 

Bislang erfolgte auch noch keine Berücksichtigung der EU-Datenschutz-Grundverordnung, das soll allerdings bei der ersten Überprüfung von Privacy Shield nachgeholt werden. 

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.