Privacy Shield: Erste Unternehmen haben sich zertifiziert

Mit den zertifizierten Unternehmen kann ein Austausch personenbezogener Daten wieder stattfinden

23.08.2016

Nachdem am 12.07.2016 das neue Datenschutzabkommen Privacy Shield in Kraftgetreten ist, haben die ersten Unternehmen die Selbstzertifizierung abgeschlossen. Mit Privacy Shield, wurde ein Ersatz für die im Oktober 2016 weggefallene Rechtsgrundlage „Safe Harbor“ für Datentransfers in die USA geschaffen. Näheres zu Privacy Shield hatten wir zum Inkrafttreten z. B. hier geschrieben.

Stand heute (19.08.2016) sind 24 Unternehmen, teilweise mit diversen sog. Entitäten, also weiteren Konzernunternehmen, zertifiziert. Darunter sind u. a. Microsoft und Salesforce.

Ersatz für Safe Harbor

Was bedeutet das nun für Unternehmen, die personenbezogene Daten mit US-Unternehmen austauschen möchten? Zu allererst bedeutet das, dass überhaupt wieder eine nutzbare Rechtsgrundlage existiert. In der Zeit zwischen dem Wegfall von Safe Harbor und dem Inkrafttreten von Privacy Shield gab es de facto keine wirkliche valide und vor allem praktikable Rechtsgrundlage außer den EU-Standardvertragsklauseln. Binding Corporate Rules wurden und werden von den Aufsichtsbehörden mit Hinweis auf die massenhafte und anlasslose Datensammelei der US-Geheimdienste nicht mehr genehmigt.

Sind damit alle Transfers in die USA erlaubt?

Nun kann also eine existierende Privacy Shield Selbstzertifizierung als Basis für eine Rechtsgrundlage für Datenübermittlungen in die USA dienen. Dabei darf nicht übersehen werden, dass hiermit kein Freibrief für solche Datenübermittlungen ausgestellt wurde. Zuallererst ist – wie auch früher schon – im Vorfeld zu prüfen, ob eine gültige(!) und aktuelle(!) Zertifizierung existiert. Mit heutigem Stand sind lediglich 24 Unternehmensgruppen zertifiziert. Ist diese Prüfung mit positivem Ergebnis durchgeführt worden, ist also davon auszugehen, dass ein ausreichendes Schutzniveau herrscht. Auf dieser Basis kann dann die eigentliche Prüfung erfolgen, ob eine datenschutzrechtliche Grundlage zur Übermittlung vorliegt.

Eine Rechtsgrundlage muss her

Wie bei allen Datenübermittlungen gilt natürlich auch bei zertifizierten Unternehmen, das Verbotsprinzip mit Erlaubnisvorbehalt. D.h. es muss eine datenschutzrechtliche Grundlage existieren, die als Erlaubnistatbestand für die Übermittlung herangezogen werden kann. Bei dieser Rechtsgrundlage kann es sich z. B. um ein berechtigtes Interesse nach § 28 Abs. 1 Nr. 2 BDSG handeln oder auch um eine Datenverarbeitung im Auftrag nach § 11 BDSG. Bei einer Auftragsdatenverarbeitung ist dann auch zwingend ein entsprechender Auftragsdatenverarbeitungsvertrag zu schließen.

Nicht für die Ewigkeit

Nicht verschwiegen werden soll an dieser Stelle, dass auch das Privacy Shield Abkommen vermutlich nur eine temporäre Lösung darstellen wird. Zwar hat es als Entscheidung der EU-Kommission bindende Wirkung. Es ist aber bekannt, dass sowohl die Aufsichtsbehörden als auch die Artikel29-Gruppe nicht unerhebliche Vorbehalte haben. Aus Sicht der Aufsichtsbehörden kam der aus unserer Sicht durchaus berechtigte Einwand, dass die massenhafte Datensammelei der US-Geheimdienste durch Privacy Shield nicht geregelt wird und daher weiterhin stattfindet. Allerdings haben die Aufsichtsbehörden hier vorerst keinen direkten Ansatzpunkt, da die Entscheidung der EU-Kommission bindend ist. Es bleibt also abzuwarten, ob (bzw. wann) Privacy Shield durch den EuGH wieder gekippt wird…

Planen Sie Datenaustausch mit den USA? Wir unterstützen Sie dabei!