EU-US-Datenschutzschild, EU-US Privacy Shield:
Neue Regelungen für den Datentransfer in die USA
Der Transfer personenbezogener Daten zwischen EU-Mitgliedstaaten und den USA unterliegt nach dem Datenschutzgesetz Österreich besonderen Beschränkungen. Nach dem Datenschutzrecht Österreich müssen für die rechtmäßige Übermittlung von Daten in Drittstaaten (zu denen auch die USA zählen) besondere Voraussetzungen erfüllt sein. Ausnahmen gab es lange Zeit nach der sogenannten Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000, die jedoch 2015 durch den Europäischen Gerichtshof gekippt wurde. An die Stelle der Safe Harbor-Entscheidung trat im Juli 2016 nach langen Verhandlungen das EU-US Privacy Shield. In diesem Beitrag lesen Sie über die Hintergründe und Konsequenzen für Unternehmen und wie viel Deckung der Datenschutzschild wirklich gibt.
Hintergründe zum EU-US Privacy Shield – Ist der Schutzschild stärker als der sichere Hafen?
Der Europäische Gerichtshof erklärte mit seinem Urteil vom 6.10.2015, C-362/14, Max Schrems, die Safe Harbor-Entscheidung für ungültig. Max Schrems ist ein österreichischer Jurist, Autor und Datenschutzaktivist.
Die Safe Harbor-Entscheidung bot Unternehmen viele Jahre die Grundlage dafür, dass der Transfer personenbezogener Daten zwischen Unternehmen in Mitgliedstaaten der Europäischen Union einerseits und Unternehmen in den USA andererseits ohne Genehmigung einer Datenschutzbehörde möglich war. Die Aufhebung dieser Entscheidung hatte zur Folge, dass die zuvor auf Grundlage der Safe Harbor-Entscheidung getätigten Datenübermittlungen unzulässig waren. Dies sorgte naturgemäß für große Aufregung und Rechtsunsicherheit für Unternehmen.
Nach langen Überlegungen, Tauziehen und Verhandlungen war es im Juli 2016 endlich soweit – am 12. Juli 2016 beschloss die Kommission, dass die Vorgaben des EU-US Datenschutzschildes („EU-US Privacy Shield“) dem Datenschutzniveau der Europäischen Union entsprechen und der EU-US Datenschutzschild-Abkommen für den Transfer von Daten angewendet werden kann.
Was ist der EU-US-Datenschutzschild?
Der EU-US Privacy Shield besteht aus Zusicherungen seitens der US-Regierung und einem Angemessenheitsbeschluss der Europäischen Kommission. Durch diesen Beschluss wird seitens der EU anerkannt, dass das Datenschutzniveau der USA im Rahmen des Privacy Shields jenem der EU entspricht und somit der Datentransfer von personenbezogenen Daten in die USA zulässig ist, sofern die Voraussetzungen des Privacy Shields eingehalten werden.
Die Betonung hierbei liegt auf „im Rahmen des Privacy Shields“. Wer glaubt, durch das neue Abkommen sei jede Übermittlung und Überlassung von Daten in die USA ohne weiteres zulässig, der irrt. Nomen est omen – das Abkommen ist ein Schutzschild, das sicherstellen soll, dass der Datentransfer in die USA nur dann zulässig ist, wenn die Daten zu oder von einem Unternehmen transferiert werden, das ein ausreichendes und vergleichbares Datenschutzniveau sicherstellt.
Der Datenschutzschild beruht unter anderem auf folgenden Grundsätzen:
- Strenge Auflagen für Unternehmen, die Daten verarbeiten (inklusive Überprüfung und Aktualisierung dieser Auflagen),
- Schutzmaßnahmen und Transparenzpflichten beim Datenzugriff durch US-Behörden,
- Schutz und Ausweitung der Betroffenenrechte und des Rechtsschutzes.
Zu beachten ist auch, dass der Datenschutzschild die Anwendung des EU-Rechts auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten nicht berührt.
Prinzip der Selbstzertifizierung
Nach dem Konzept des EU-US Privacy Shieldführen Unternehmen in den USA eine Selbstzertifizierung durch. Anschließend wird durch Eintragung des Unternehmens in die sogenannte Datenschutzschild-Liste bestätigt, dass das Unternehmen die geforderten Datenschutzstandards erfüllt. Die Eintragung in diese Liste muss jährlich erneuert werden.
Im Vergleich zu Safe Harbor sind die Anforderungen strenger und das US-Handelsministerium prüft, ob die Eintragungen zu Recht erfolgten. Das US-Handelsministerium kann gegebenenfalls auch Streichungen aus der Liste veranlassen. Eine Streichung aus der Liste bedeutet – theoretisch – einerseits, dass das US-Unternehmen die im Rahmen des Datenschutzschilds empfangenen personenbezogenen Daten löschen muss und andererseits, dass ein Datentransfer zu diesem Unternehmen nicht mehr auf das Datenschutzschild-Abkommen gestützt werden kann.
Die Liste der zertifizierten Unternehmen ist unter www.privacyshield.gov abrufbar. In dieser Liste finden sich bereits viele Unternehmen, die die Selbstzertifizierung offenbar in Marathonzeit hinter sich gebracht haben.
Was bedeutet der Datenschutzschild für europäische Unternehmen?
Ein europäisches Unternehmen, das einen Datentransfer in die USA durchführen will, sollte zunächst prüfen, ob der Datenempfänger in dieser Liste eingetragen ist. Sofern dies der Fall ist, ist der Datentransfer in die USA nach aktueller Rechtslage genehmigungsfrei zulässig. Bezogen auf Österreich würde dies bedeuten, dass der Transfer derzeit keiner zusätzlichen Genehmigung durch die österreichische Datenschutzbehörde bedarf. Eine Meldepflicht bei der Datenschutzbehörde kann freilich dennoch bestehen.
Überprüfen Sie vor der Aufnahme von Datentransfers in die USA, ob der Übermittlungsempfänger bzw. Dienstleister in dieser Liste aktiv aufscheint. Sobald und solange US-Unternehmen in dieser Liste eingetragen sind, können EU-Unternehmen nach derzeitiger Situation personenbezogene Daten rechtmäßig an diese US-Unternehmen überlassen und übermitteln. Andernfalls bedarf es für eine rechtmäßige Übermittlung anderer Voraussetzungen.
Ist der Datenempfänger in den USA in die Liste nicht eingetragen, müssen jedenfalls zulässige alternative Grundlagen für die rechtmäßige Übermittlung bzw. Überlassung gefunden werden. Dies kann nach dem Datenschutzgesetz Österreich beispielsweise die Verwendung von EU-Standardvertragsklauseln sein. Bei der Verwendung von EU-Standardvertragsklauseln ist insbesondere darauf zu achten, dass diese unverändert übernommen werden. Darüber hinaus muss der Datentransfer in die USA unter Verwendung von Standardvertragsklauseln von der österreichischen Datenschutzbehörde genehmigt werden.
Eine andere Möglichkeit besteht in der Einholung einer (wirksamen und ausdrücklichen) Zustimmung der betroffenen Personen für den Datentransfer in die USA. Abgesehen von strengen Voraussetzungen für eine wirksame Zustimmung ist aber zu bedenken, dass eine solche Zustimmung von den betroffenen Personen jederzeit widerrufen werden kann und dadurch der Datentransfer möglicherweise unzulässig wird.
Wer überwacht die Wirksamkeit des Schutzschildes?
Als Neuerung im Vergleich zur Rechtslage unter Safe Harbor sieht der Datenschutzschild vor, dass die Europäische Kommission und das US-Handelsministerium gemeinsam zumindest einmal pro Jahr eine Überprüfung betreffend die Funktionsweise des Datenschutzschilds durchführen.
Neu ist auch die Einrichtung einer US-Ombudsstelle: An diese Stelle können sich Betroffene wenden, wenn sie eine unrechtmäßige staatliche Überwachung vermuten.
Betroffene können sich im Rahmen des Privacy Shield auch an jeweilige US-Unternehmen wenden. Das Unternehmen ist verpflichtet, innerhalb von maximal 45 Tagen zu antworten. Es muss auch ein alternatives Streitbeilegungsverfahren vor einer unabhängigen Beschwerdestelle anbieten. Daneben können Betroffene bei der „Heimat“-Datenschutzbehörde Beschwerde einbringen. Als übergeordnete Maßnahme ist ein Schiedsverfahren beim Datenschutzschild-Panel vorgesehen.
Wie diese Maßnahmen in der Praxis genutzt und umgesetzt werden, kann mit Spannung abgewartet werden.
Schutzschild auch für Mitarbeiterdaten
Für Mitarbeiterdaten sind im Rahmen des Datenschutzschildes besondere Regelungen vorgesehen: Soweit personenbezogene Daten nur im Rahmen des Beschäftigungsverhältnisses verwendet werden, bleibt gegenüber dem Arbeitnehmer in erster Linie die in der EU ansässige Organisation verantwortlich.
Ein europäischer Arbeitnehmer, der gegen die Verwendung der ihn betreffenden Daten Beschwerde erhoben hat (sei es organisationsintern, bei einer externen Stelle oder nach einem kollektivvertraglich vorgesehenen Verfahren) und mit dem Ergebnis nicht zufrieden ist, wird an die für arbeitsrechtliche Fragen zuständige Behörde des Landes verwiesen, in dem er beschäftigt ist. Das gilt auch, wenn für den als unzulässig betrachteten Umgang mit den personenbezogenen Daten eine US-Organisation verantwortlich ist, die die Informationen vom Arbeitgeber erhalten hat, und somit ein Verstoß gegen die Grundsätze des Datenschutzschilds vorliegt. Die jeweiligen US-Unternehmen, die sich selbstzertifiziert haben, verpflichten sich deshalb unter anderem dazu, in Bezug auf Mitarbeiterdaten gegebenenfalls bei Untersuchungen der in der EU jeweils zuständigen Behörden mitzuwirken und deren Empfehlungen zu befolgen. Das bedeutet, dass US-Unternehmen, die Mitarbeiterdaten empfangen, für diese Daten direkt den nationalen EU-Datenschutzbehörden unterworfen sind.
Datenschutzschild unter Beschuss
Das Datenschutzschild-Abkommen war von Anfang an heftiger Kritik ausgesetzt. Wie lange es in dieser Form überhaupt bestehen wird und damit zusammenhängend wie lange der Schutzschild als Grundlage für rechtmäßigen Datentransfer in die USA dienen wird können, ist höchst umstritten. Unternehmen sollten sich hierauf nicht verlassen. Der Datenschutzschild ist brüchig.
Max Schrems, der die Safe Harbor-Entscheidung zu Fall gebracht hat, hinterfragt den Schutzschild beispielsweise in einem Beitrag als „politisch gewollte Totgeburt mit Anlauf“ (Dako 2016/38). Der Privacy Shield bietet keine maximale Rechtssicherheit für Unternehmen im Zusammenhang mit dem transatlantischen Datentransfer.
Für alle Unternehmen, unabhängig von ihrer Größe, die Daten in die USA transferieren, ist es daher wichtig, (allenfalls zusätzlich zum Datenschutzschild) die Alternativen des Datenschutzgesetzes Österreich zu prüfen. Der Datenschutzschild ist nicht die einzige und vor allem nicht die rechtssicherste Grundlage für zulässigen Datentransfer zwischen Österreich und den USA.
Kommentare:
Wir freuen uns über Ihre Kommentare, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass hier KEINE Rechtsberatung gegeben werden kann, das ist nicht der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at
Wie viel Deckung gibt der EU-US Datenschutzschild / Privacy Shield?