EU-US Privacy Shield: USA unsicherer Drittstaat
Heute soll das EU-US Privacy Shield in Kraft treten. Nachdem der Europäische Gerichtshof (EuGH) zuletzt die bisherige Vereinbarung zwischen der EU und den USA bezüglichen Datentransfers („Safe Habor“) für unwirksam erklärt hat, soll es ab heute eine neue Vereinbarung geben. Relevant ist das Thema für jeden, der personenbezogene Daten in die USA transferiert (z.B. auf einen dort stehenden Server).
Die USA bleiben aber datenschutzrechtlich gesehen dennoch ein unsicherer Drittstaat. Das Privacy Shield macht es nun aber etwas einfacher, Daten in die USA zu transferieren.
Das datenempfangende US-Unternehmen muss sich zertifizieren lassen; das zuständige Handelsministerium der USA wird eine Liste der zertifizierten Unternehmen veröffentlichen.
Auch wenn die Details noch unklar sind, wird man mit Blick auf den Beschluss der obersten Aufsichtsbehörden für den Datenschutz vom 28./29.04.2010 auch eine Prüfung verlangen müssen. D.h. das transferierende deutsche Unternehmen muss prüfen, ob die Zertifizierung besteht (indem die Liste beim US-Handelsministerium geprüft wird), bestenfalls sollte das einmal pro Jahr neu geprüft werden. Auch sollte geprüft werden, ob die Informationspflichten gegenüber den Betroffenen (z.B. dass die Daten in den USA verarbeitet werden) eingehalten werden.
Es gibt aktuell keinen Beschluss der obersten Aufsichtsbehörden zum Privacy Shield, vorsichtshalber sollte man aber diese Prüfungen durchführen. Auch sind weiterhin entsprechende Verträge mit dem US-Unternehmen zu empfehlen, um die nach dem Wegfall von Safe Harbor entstandenen Lücken einigermaßen abzudecken.
Die Aufsichtsbehörden stimmen sich derzeit auf europäischer Ebene zum Privacy Shield ab, wir sind gespannt, was dabei herauskommt.
Thomas Waetke
Rechtsanwalt
Fachanwalt für Urheber- und Medienrecht
Herausgeber & Autor des Themenportals www.eventfaq.de
Die USA bleiben aber datenschutzrechtlich gesehen dennoch ein unsicherer Drittstaat. Das Privacy Shield macht es nun aber etwas einfacher, Daten in die USA zu transferieren.
Das datenempfangende US-Unternehmen muss sich zertifizieren lassen; das zuständige Handelsministerium der USA wird eine Liste der zertifizierten Unternehmen veröffentlichen.
Auch wenn die Details noch unklar sind, wird man mit Blick auf den Beschluss der obersten Aufsichtsbehörden für den Datenschutz vom 28./29.04.2010 auch eine Prüfung verlangen müssen. D.h. das transferierende deutsche Unternehmen muss prüfen, ob die Zertifizierung besteht (indem die Liste beim US-Handelsministerium geprüft wird), bestenfalls sollte das einmal pro Jahr neu geprüft werden. Auch sollte geprüft werden, ob die Informationspflichten gegenüber den Betroffenen (z.B. dass die Daten in den USA verarbeitet werden) eingehalten werden.
Es gibt aktuell keinen Beschluss der obersten Aufsichtsbehörden zum Privacy Shield, vorsichtshalber sollte man aber diese Prüfungen durchführen. Auch sind weiterhin entsprechende Verträge mit dem US-Unternehmen zu empfehlen, um die nach dem Wegfall von Safe Harbor entstandenen Lücken einigermaßen abzudecken.
Die Aufsichtsbehörden stimmen sich derzeit auf europäischer Ebene zum Privacy Shield ab, wir sind gespannt, was dabei herauskommt.
Thomas Waetke
Rechtsanwalt
Fachanwalt für Urheber- und Medienrecht
Herausgeber & Autor des Themenportals www.eventfaq.de